Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Private VLANs

Verständnis privater VLANs

VLANs beschränken Broadcasts auf bestimmte Benutzer. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie die Kommunikation innerhalb eines VLANs beschränken. PVLANs erreichen dies durch die Beschränkung von Datenverkehrsströmen über ihre Member-Switch-Ports (die als privatePorts bezeichnet werden), sodass diese Ports nur mit einem angegebenen Uplink-Trunkport oder mit angegebenen Ports innerhalb des gleichen VLANs kommunizieren. Der Uplink-Trunkport bzw. die Link Aggregation Group (LAG) ist in der Regel mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden. Jedes PVLAN enthält in der Regel viele private Ports, die nur mit einem einzelnen Uplink-Port kommunizieren und so verhindern, dass die Ports miteinander kommunizieren.

PVLANs bieten eine Layer 2-Isolierung zwischen Ports in einem VLAN und teilen eine Broadcast-Domäne in mehrere separate Broadcast-Unterdomains durch das Erstellen sekundärer VLANs (Community-VLANs und eines isolierten VLAN) in einem primären VLAN. Ports innerhalb der gleichen Community VLAN können miteinander kommunizieren. Ports innerhalb eines isolierten VLAN können nur mit einem einzelnen Uplink-Port kommunizieren.

Genau wie die normalen VLANs sind PVLANs auf Layer 2 isoliert und erfordern eine der folgenden Optionen zum Routen von Layer 3-Datenverkehr zwischen den sekundären VLANs:

  • Eine promiscuous Port-Verbindung mit einem Router

  • Eine Geroutete VLAN-Schnittstelle (RVI)

Anmerkung:

Für das Routen von Layer 3-Datenverkehr zwischen sekundären VLANs benötigt ein PVLAN nur eine der oben genannten Optionen. Wenn Sie einen RVI verwenden, können Sie trotzdem eine promiscuous Port-Verbindung zu einem Router implementieren, der den promiscuous Port eingerichtet hat, um nur Datenverkehr zu verarbeiten, der das PVLAN ein- und austritt.

PVLANs sind zur Beschränkung des Broadcast- und unbekannten Unicast-Datenverkehrs und zur Beschränkung der Kommunikation zwischen bekannten Hosts nützlich. Dienstanbieter verwenden PVLANs, um ihre Kunden voneinander isoliert zu halten. Eine weitere typische Verwendung für ein PVLAN ist die Bereitstellung eines Internetzugangs pro Zimmer in einem Hotel.

Anmerkung:

Sie können ein PVLAN so konfigurieren, dass es Switches überspannt, die PVLANs unterstützen.

In diesem Thema werden die folgenden Konzepte bezüglich PVLANs auf Switches der EX-Serie erläutert:

Vorteile von PVLANs

Die Trennung eines einzelnen VLANs ist besonders in den folgenden Implementierungsszenarien hilfreich:

  • Serverfarmen: Ein typischer Internetdienstanbieter verwendet eine Serverfarm, um Zahlreiche Kunden Webhosting zu bieten. Das Auffinden der verschiedenen Server innerhalb einer einzelnen Serverfarm sorgt für eine einfache Verwaltung. Sicherheitsbedenken entstehen, wenn sich alle Server im selben VLAN befinden, da Layer-2-Broadcasts an alle Server im VLAN gehen.

  • Städtische Ethernet-Netzwerke: Ein Metro-Service Provider bietet Layer-2-Ethernet-Zugriff für verschiedene Haushalte, Vermietungsgemeinschaften und Unternehmen. Die herkömmliche Lösung, bei der pro Kunde ein VLAN bereitgestellt wird, ist nicht skalierbar und schwer zu verwalten, was zu potenzieller Verschwenden von IP-Adressen führt. PVLANs bieten eine sicherere und effizientere Lösung.

Typische Struktur und Hauptanwendung von PVLANs

Ein PVLAN kann auf einem einzelnen Switch konfiguriert oder für mehrere Switches konfiguriert werden. Zu den Arten von Domänen und Ports gehören:

  • Primäres VLAN: Das primäre VLAN des PVLAN wird mit einem 802.1Q-Tag (VLAN-ID) für das vollständige PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs (ein isoliertes VLAN und mehrere Community-VLANs) enthalten.

  • Isolierter VLAN/isolierter Port: Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle innerhalb eines isolierten VLAN kann Pakete nur an einen Promiscuous-Port oder einen ISL-Port (Inter-Switch Link) senden. Eine isolierte Schnittstelle kann Pakete nicht an eine andere isolierte Schnittstelle übertragen. und eine isolierte Schnittstelle kann Pakete nicht von einer anderen, voneinander isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Gateway-Router haben muss, muss es an einen isolierten Trunkport angeschlossen werden.

  • Community-VLAN/Community-Port: Sie können mehrere Community-VLANs innerhalb eines einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann Layer 2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zur gleichen Community VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLAN kann auch mit einem Promiscuous-Port oder dem ISL-Port kommunizieren. Wenn Sie beispielsweise zwei Kundengeräte haben, die Sie von anderen Kundengeräten isolieren müssen, die jedoch miteinander kommunizieren können müssen, verwenden Sie Community-Ports.

  • Promiscuous-Port: Ein Promiscuous-Port verfügt über eine Layer 2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob eine Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein Promiscuous-Port ist ein Mitglied des primären VLAN, aber nicht in eine sekundäre Subdomain enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind normalerweise mit einem promiscuous Port verbunden.

  • Inter-Switch Link (ISL): Ein ISL ist ein Trunkport, der mehrere Switches in einem PVLAN verbindet und zwei oder mehr VLANs enthält. Dies ist nur erforderlich, wenn ein PVLAN mehrere Switches überspannt.

Das konfigurierte PVLAN ist die primäre Domäne (primäres VLAN). Innerhalb des PVLAN konfigurieren Sie sekundäre VLANs, die in die primäre Domain eingebettet sind. Ein PVLAN kann auf einem einzelnen Switch konfiguriert oder für mehrere Switches konfiguriert werden. Das in zwei Switches dargestellte PVLAN umfasst Abbildung 1 eine primäre PVLAN-Domäne und verschiedene Subdomains.

Abbildung 1: Subdomains in einem PVLANSubdomains in einem PVLAN

Wie in Abbildung 3 "PVLAN" dargestellt, hat ein PVLAN nur eine primäre und mehrere sekundäre Domänen. Zu den Domänentypen gehören:

  • Primäres VLAN: VLAN für die Weiterverarbeitung von Frames nachgeschaltet zu isolierten und Community-VLANs. Das primäre VLAN des PVLAN wird für das gesamte PVLAN mit einem 802.1Q-Tag (VLAN-ID) definiert. Das primäre PVLAN kann mehrere sekundäre VLANs (ein isoliertes VLAN und mehrere Community-VLANs) enthalten.

  • Sekundäres isoliertes VLAN: VLAN, das Pakete nur vom primären VLAN empfängt und Frames vorgeschaltet an das primäre VLAN weiter weitergeleitet. Das isolierte VLAN ist ein sekundäres VLAN, das in das primäre VLAN eingebettet ist. Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle in einem isolierten VLAN (isolierte Schnittstelle) kann Pakete nur an einen Promiscuous-Port oder den PVLAN-Trunkport übertragen. Eine isolierte Schnittstelle kann Pakete nicht an eine andere isolierte Schnittstelle übertragen. kann aber Pakete von einer anderen, voneinander isolierten Schnittstelle nicht empfangen. Wenn ein Kundengerät nur auf einen Router zugreifen muss, muss es an einen isolierten Trunkport angeschlossen werden.

  • Sekundärer Interswitch isoliertes VLAN: VLAN verwendet, um isolierten VLAN-Datenverkehr von einem Switch über PVLAN-Trunk-Ports an einen anderen zu übertragen. 802.1Q-Tags sind für isolierte Interswitch-VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, durch den ein Trunking-Gerät eine 4-Byte VLAN-Frame-Identifizierungs-Registerkarte in den Paket-Header einträgt. Ein isoliertes Interswitch-VLAN ist ein sekundäres VLAN, das in das primäre VLAN eingebettet ist.

  • Sekundäres VLAN für die Community: VLAN verwendet, um Frames zwischen Mitgliedern einer Community (eine Untergruppe von Benutzern innerhalb des VLAN) zu transporten und Frames an das primäre VLAN weiter zu weitergeleitet. Ein Community-VLAN ist ein sekundäres VLAN, das in das primäre VLAN eingebettet ist. Sie können mehrere Community-VLANs in einem einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann Layer 2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zur gleichen Community VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLAN kann auch mit einem Promiscuous-Port oder dem PVLAN-Trunkport kommunizieren.

Abbildung 2 zeigt ein PVLAN, das mehrere Switches umspannt, wobei das primäre VLAN ( ) zwei Community-Domänen und ) und eine isolierte 100(300400 Interswitch-Domäne enthält.

Abbildung 2: PVLAN-Spanning Multiple Switches (PVLAN über mehrere Switches)PVLAN-Spanning Multiple Switches (PVLAN über mehrere Switches)
Anmerkung:

Primäre und sekundäre VLANs verlassen sich auf die Begrenzung auf 4089 VLANs, die auf der QFX-Serie unterstützt werden. Beispielsweise zählt jedes VLAN Abbildung 2 gegen diese Begrenzung.

Typische Struktur und primäre Anwendung von PVLANs auf Routern der MX-Serie

Das konfigurierte PVLAN wird zur primären Domäne, und sekundäre VLANs werden zu Subdomains, die in der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzelnen Router erstellt werden. Das hier dargestellte PVLAN Abbildung 3 umfasst einen Router mit einer primären PVLAN-Domäne und mehreren sekundären Subdomains.

Abbildung 3: Subdomains in einem PVLAN mit einem RouterSubdomains in einem PVLAN mit einem Router

Zu den Domänentypen gehören:

  • Primäres VLAN: VLAN für die Weiterverarbeitung von Frames nachgeschaltet zu isolierten und Community-VLANs.

  • Sekundäres isoliertes VLAN: VLAN, das Pakete nur vom primären VLAN empfängt und Frames vorgeschaltet an das primäre VLAN weiter weitergeleitet.

  • Sekundäres Interswitch-isoliertes VLAN: VLAN verwendet, um isolierten VLAN-Datenverkehr von einem Router über PVLAN-Trunk-Ports an einen anderen zu übertragen.

  • Sekundäres VLAN für die Community: VLAN für den Transport von Frames zwischen Mitgliedern einer Community, bei der es sich um eine Untergruppe von Benutzern innerhalb des VLAN handelt, und um Frames vorgelagert an das primäre VLAN weiter zu weitergeleitet.

Anmerkung:

PVLANs werden auf MX80-Routern, auf MX240-, MX480- und MX960-Routern mit DPCs im erweiterten LAN-Modus und auf Routern der MX-Serie mit MPC1, MPC2 und PiCs für adaptive Dienste unterstützt.

Typische Struktur und primäre Anwendung von PVLANs auf Switches der EX-Serie

Anmerkung:

Das primäre VLAN des PVLAN wird für das gesamte PVLAN mit einem 802.1Q-Tag (VLAN-ID) definiert. Auf EX9200 Switches muss jedes sekundäre VLAN auch mit einer eigenen separaten VLAN-ID definiert werden.

Abbildung 4 zeigt ein PVLAN auf einem einzelnen Switch, in dem das primäre VLAN (VLAN) 100 zwei Community-VLANs (VLAN und VLAN) und ein 300400 isoliertes VLAN (VLAN) 50 enthält.

Abbildung 4: Privates VLAN auf einem einzelnen EX-SwitchPrivates VLAN auf einem einzelnen EX-Switch

Abbildung 5 zeigt ein PVLAN, das mehrere Switches umspannt, wobei das primäre VLAN (VLAN) zwei 100 Community-VLANs (VLAN und VLAN) und ein 300400 isoliertes VLAN (VLAN 200) enthält. Sie zeigt auch, dass Switch 1 und 2 über eine Interswitch-Verbindung (PVLAN-Trunkverbindung) verbunden sind.

Abbildung 5: PVLAN spannt mehrere Switches der EX-SeriePVLAN spannt mehrere Switches der EX-Serie

Darüber hinaus werden in den PVLANs ein Promiscuous-Port verwendet, der mit einem Router verbunden ist, um den Layer-3-Datenverkehr zwischen der Community und den isolierten Abbildung 4Abbildung 5 VLANs zu routen. Anstatt den promiscuous Port zu verwenden, der mit einem Router verbunden ist, können Sie eine RVI auf dem Switch oder einen der gezeigten Abbildung 4Abbildung 5 Switches (auf einigen EX-Switches) konfigurieren.

Für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs müssen Sie entweder einen Router mit einem Promiscuous-Port verbinden,wie in gezeigt, oder eine Abbildung 4Abbildung 5 RVI konfigurieren.

Wenn Sie sich für die RVI-Option entscheiden, müssen Sie eine RVI für das primäre VLAN in der PVLAN-Domäne konfigurieren. Dieser RVI dient der gesamten PVLAN-Domain, unabhängig davon, ob die Domäne einen oder mehrere Switches umfasst. Nachdem Sie den RVI konfiguriert haben, werden von den sekundären VLAN-Schnittstellen empfangene Layer 3-Pakete zugeordnet und vom RVI geroutet.

Beim Einrichten der RVI müssen Sie auch das Proxy Address Resolution Protocol (ARP) aktivieren, damit die RVI ARP-Anforderungen verarbeiten kann, die an die sekundären VLAN-Schnittstellen empfangen werden.

Informationen zur Konfiguration von PVLANs auf einem einzelnen Switch und auf mehreren Switches finden Sie unter Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie (einfachesCLI).Informationen zur Konfiguration einer RVI finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.

Routing zwischen isolierten und Community-VLANs

Für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs müssen Sie einen externen Router oder Switch mit einem Trunk-Port des primären VLANs verbinden. Der Trunkport des primären VLAN ist ein Promiscuous-Port. daher kann es mit allen Ports im PVLAN kommunizieren.

PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen

Wenn Pakete mit einem kundenspezifischen 802.1Q-Tag markiert werden, wird die Eigentümerschaft der Pakete für jeden Switch oder Router im Netzwerk ermittelt. Manchmal werden in PVLANs 802.1Q-Tags benötigt, um Pakete von verschiedenen Subdomains zu verfolgen. Tabelle 1 gibt an, wann ein VLAN-802.1Q-Tag im primären VLAN oder in sekundären VLANs benötigt wird.

Tabelle 1: Wenn VLANs in einem PVLAN 802.1Q-Tags benötigen

Auf einem einzelnen Switch auf mehreren Switches

Primäres VLAN

Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen.

Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen.

Sekundäres VLAN

Kein Tag für VLANs erforderlich.

VLANs benötigen 802.1Q-Tags:

  • Geben Sie für jede Community-VLAN einen 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen.

  • Geben Sie den 802.1Q-Tag für eine isolierte VLAN-ID an, indem Sie eine Isolierungs-ID festlegen.

PVLANs nutzen IP-Adressen effizient

PVLANs bieten schutz vor IP-Adressen und eine effiziente Zuordnung von IP-Adressen. In einem typischen Netzwerk gehören VLANs normalerweise zu einem einzigen IP-Subnetz. In PVLANs gehören die Hosts in allen sekundären VLANs zum selben IP-Subnetz, da das Subnetz dem primären VLAN zugewiesen wird. Hosts innerhalb des sekundären VLAN werden IP-Adressen auf der Grundlage von IP-Subnetzen zugewiesen, die mit dem primären VLAN verknüpft sind. Ihre Informationen zur IP-Subnetzmaske enthalten die Informationen des primären VLAN-Subnetzes. Jedes sekundäre VLAN ist jedoch eine separate Broadcast-Domäne.

PVLAN-Porttypen und Weiterleitungsregeln

PVLANs können bis zu sechs verschiedene Porttypen nutzen. Das dargestellte Netzwerk nutzt einen promiscuous Port, um Informationen an den Router zu übertragen, Community-Ports, um die Finanz- und HR-Communitys mit ihren entsprechenden Switches zu verbinden, isolierte Ports zur Verbindung der Server und einen PVLAN-Trunkport zum Verbinden der beiden Abbildung 2 Switches. PVLAN-Ports unterliegen unterschiedlichen Einschränkungen:

  • Promiscuous Trunk Port – Ein promiscuous Port verfügt über eine Layer 2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob die Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein Promiscuous-Port ist ein Mitglied des primären VLAN, aber nicht in einer der sekundären Subdomains enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind normalerweise mit einem promiscuous Port verbunden.

  • PVLAN-Trunkverbindung – Die PVLAN-Trunkverbindung, die auch als Interswitch-Verbindung bekannt ist, ist nur erforderlich, wenn ein PVLAN für die Spanung mehrerer Switches konfiguriert ist. Die PVLAN-Trunkverbindung verbindet die verschiedenen Switches, die das PVLAN aufstellen.

  • PVLAN-Trunkport: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunkport erforderlich, der die Switches umspannt. Der PVLAN-Trunkport ist ein Mitglied aller VLANs innerhalb des PVLAN (d. h. dem primären VLAN, den Community-VLANs und dem isolierten Interswitch-VLAN) und über nimmt Datenverkehr vom primären VLAN und allen sekundären VLANs. Es kann mit allen Ports mit anderen als den isolierten Ports kommunizieren.

    Die Kommunikation zwischen einem PVLAN-Trunkport und einem isolierten Port erfolgt in der Regel unidirektional. Die Mitgliedschaft eines PVLAN-Trunkports im isolierten Interswitch-VLAN ist "Egress-Only". Das bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunkport übertragen kann. Ein PVLAN-Trunkport führt Pakete jedoch nicht an einen isolierten Port weiter (wenn die Pakete nicht an einen promiscuous Access Port gesendet werden und daher an alle sekundären VLANs im selben primären VLAN wie der promiscuous Port weitergeleitet werden).

  • Sekundärer VLAN-Trunkport (nicht dargestellt): Sekundäre Trunk-Ports tragen sekundären VLAN-Datenverkehr. Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunkport Datenverkehr für nur ein sekundäres VLAN transportieren. Ein sekundärer VLAN-Trunkport kann jedoch Datenverkehr für mehrere sekundäre VLANs portieren, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunkport Datenverkehr für ein Community-VLAN, das Teil des primären VLAN pvlan100 ist, und Datenverkehr für ein isoliertes VLAN, das Teil des primären VLAN pvlan400 ist, weiter tragen.

  • Community-Port: Community-Ports kommunizieren untereinander und mit ihren Promiscuous-Ports. Community-Ports dienen nur einer ausgewählten Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLAN voneinander getrennt.

  • Isolierter Zugriffsport – Isolierte Ports verfügen über Layer 2-Konnektivität nur mit Promiscuous-Ports und PVLAN-Trunk-Ports. Ein isolierter Port kann nicht mit einem anderen isolierten Port kommunizieren, selbst wenn diese beiden Ports Mitglieder der gleichen isolierten VLAN-Domäne (oder interswitch) sind. Normalerweise ist ein Server wie ein Mail-Server oder ein Backup-Server an einem isolierten Port verbunden. In einem Hotel sind die Zimmer in der Regel an einen isolierten Port angeschlossen, sodass eine Kommunikation zwischen den Zimmern nicht möglich ist. Jedes Zimmer kann jedoch über den Promiscuous-Port auf das Internet zugreifen.

  • Promiscuous Access-Port (nicht dargestellt): Diese Ports tragen nicht-tags-Datenverkehr. Datenverkehr, der an einem promiscuous Access-Port einfügbar ist, wird an alle sekundären VLAN-Ports auf dem Gerät weitergeleitet. Wenn der Datenverkehr über einen VLAN-fähigen Port in das Gerät einfing und an einem promiscuous Access-Port ausgehend abtritt, wird der Datenverkehr nicht mehr bezeichnet. Wenn Tagged Traffic-Ingresses auf einem Promiscuous Access-Port, wird der Datenverkehr verworfen.

  • Interswitch-Linkport: Ein ISL-Port (Interswitch Link) ist ein Trunk-Port, der zwei Router verbindet, wenn ein PVLAN diese Router überspannt. Der ISL-Port ist ein Mitglied aller VLANs innerhalb des PVLAN (d. h. dem primären VLAN, den Community-VLANs und dem isolierten VLAN).

    Die Kommunikation zwischen einem ISL-Port und einem isolierten Port ist unidirektional. Die Mitgliedschaft eines ISL-Ports im isolierten Interswitch-VLAN ist "Egress-Only". Der eingehende Datenverkehr auf dem ISL-Port wird also nie dem isolierten VLAN zugewiesen. Ein isolierter Port kann Pakete an einen PVLAN-Trunkport übertragen, aber ein PVLAN-Trunkport kann Pakete nicht an einen isolierten Port übertragen. Tabelle 3 fasst zusammen, ob Layer 2-Konnektivität zwischen den verschiedenen Ports vorhanden ist.

Tabelle 2 fasst die Layer 2-Konnektivität zwischen den verschiedenen Ports innerhalb eines PVLAN auf Switches der EX-Serie, die ELS unterstützen, zusammen.

Tabelle 2: PVLAN-Ports und Layer-2-Weiterleitung auf Switches der EX-Serie, die ELS unterstützen

Vom Porttyp

Zu isolierten Ports?

Zu promiscuous Ports?

Zu Community-Ports?

Zu Inter-Switch Link Port?

Isoliert

Verweigern

Zulassen

Verweigern

Zulassen

Promiscuous

Zulassen

Zulassen

Zulassen

Zulassen

Community 1

Verweigern

Zulassen

Zulassen

Zulassen

Tabelle 3: PVLAN-Ports und Layer-2-Konnektivität

Porttyp

Promiscuous Trunk

PVLAN-Trunk

Sekundärer Trunk

Community

Isolierter Zugriff

Promiscuous Access

Promiscuous Trunk

Ja

Ja

Ja

Ja

Ja

Ja

PVLAN-Trunk

Ja

Ja

Ja

Ja – nur dieselbe Community

Ja

Ja

Sekundärer Trunk

Ja

Ja

Nein

Ja

Nein

Ja

Community

Ja

Ja

Ja

Ja – nur dieselbe Community

Nein

Ja

Isolierter Zugriff

Ja

Ja – nur unidirektional

Nein

Nicht vorhanden.

Nicht vorhanden.

Ja

Promiscuous Access

Ja

Ja

Ja

Ja

Ja

Nein

Tabelle 4 fasst zusammen, ob layer 2-Konnektivität zwischen den verschiedenen Ports innerhalb eines PVLAN vorhanden ist oder nicht.

Tabelle 4: PVLAN-Ports und Layer-2-Konnektivität auf Switches der EX-Serie ohne ELS-Unterstützung

Porttyp

Empfänger: →

Von:!

Promiscuous

Community

Isoliert

PVLAN-Trunk

Rvi

Promiscuous

Ja

Ja

Ja

Ja

Ja

Community

Ja

Ja – nur dieselbe Community

Nein

Ja

Ja

Isoliert

Ja

Nein

Nicht vorhanden.

Ja

Anmerkung:

Diese Kommunikation ist unidirektional.

Ja

PVLAN-Trunk

Ja

Ja – nur dieselbe Community

Ja

Anmerkung:

Diese Kommunikation ist unidirektional.

Ja

Ja

Rvi

Ja

Ja

Ja

Ja

Ja

Wie bereits in erwähnt, ist die Layer 2-Kommunikation zwischen einem isolierten Port und Tabelle 4 einem PVLAN-Trunkport unidirektional. Das heißt, ein isolierter Port kann Pakete nur an einen PVLAN-Trunkport senden, und ein PVLAN-Trunkport kann Pakete nur von einem isolierten Port empfangen. Dagegen kann ein PVLAN-Trunkport Pakete nicht an einen isolierten Port senden, und ein isolierter Port kann Pakete nicht von einem PVLAN-Trunkport empfangen.

Anmerkung:

Wenn Sie es in einem primären no-mac-learning VLAN aktivieren, übernehmen alle isolierten VLANs (oder das isolierte Interswitch-VLAN) diese Einstellung. Wenn Sie jedoch das LERNEN von MAC-Adressen in einem Community-VLAN deaktivieren möchten, müssen Sie für jedes no-mac-learning dieser VLANs konfigurieren.

PvLAN-Erstellung

Das hier dargestellte Flussdiagramm vermittelt ihnen einen allgemeinen Grundgedanken zum Prozess der Abbildung 6 Erstellung von PVLANs. Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge abschließen, verletzen Sie nicht diese PVLAN-Regeln. (Bei den PVLAN-Regeln gilt die Konfiguration des PVLAN-Trunkports nur für ein PVLAN, das mehrere Router umfasst.)

  • Das primäre VLAN muss ein TAGGED VLAN sein.

  • Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, muss zunächst das primäre VLAN konfiguriert werden.

  • Zur Konfiguration einer isolierten VLAN-ID müssen Sie zuerst das primäre VLAN konfigurieren.

Anmerkung:

Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.

Die Konfiguration eines VLAN auf einem einzelnen Router ist relativ einfach, wie in Abbildung 6 gezeigt.

Abbildung 6: Konfigurieren eines PVLAN auf einem einzelnen SwitchKonfigurieren eines PVLAN auf einem einzelnen Switch

Die Konfiguration eines primären VLANs besteht aus diesen Schritten:

  1. Konfigurieren Sie den primären VLAN-Namen und das 802.1Q-Tag.

  2. Festlegen no-local-switching auf dem primären VLAN.

  3. Konfigurieren Sie den promiscuous Trunk-Port und die Zugriffsports.

  4. Machen Sie den promiscuous Trunk und die Access Ports-Mitglieder des primären VLANs.

Innerhalb eines primären VLANs können Sie sekundäre Community-VLANs oder sekundäre isolierte VLANs oder beides konfigurieren. Die Konfiguration eines sekundären VLAN für eine sekundäre Community umfasst diese Schritte:

  1. Konfigurieren Sie ein VLAN mithilfe des gewohnten Prozesses.

  2. Konfigurieren Sie Zugangsschnittstellen für das VLAN.

  3. Dem Community-VLAN ein primäres VLAN zuweisen,

Isolierte VLANs werden intern erstellt, wenn das isolierte VLAN als Mitglieder über Zugriffschnittstellen verfügt und die Option im no-local-switching primären VLAN aktiviert ist.

802.1Q-Tags sind für isolierte Interswitch-VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, durch den ein Trunking-Gerät eine 4-Byte VLAN-Frame-Identifizierungs-Registerkarte in den Paket-Header einträgt.

Trunk-Ports werden nur für Multirouter-PVLAN-Konfigurationen benötigt– der Trunkport überleitt den Datenverkehr vom primären VLAN und allen sekundären VLANs.

Grenzen privater VLANs

Für private VLAN-Konfigurationen gelten folgende Einschränkungen:

  • Eine Zugriffsschnittstelle kann nur einer PVLAN-Domäne gehören, d. b. sie kann nicht an zwei verschiedenen primären VLANs teilnehmen.

  • Eine Trunkschnittstelle kann ein Mitglied von zwei sekundären VLANs sein, solange sich die sekundären VLANs in zwei verschiedenen primären VLANs befinden. Eine Trunkschnittstelle kann nicht ein Mitglied von zwei sekundären VLANs sein, die sich im gleichen primären VLAN befinden.

  • Ein einzelner Bereich des Multiple Spanning Tree Protocol (MSTP) muss in allen VLANs konfiguriert werden, die zum PVLAN gehören.

  • VLAN Spanning Tree Protocol (VSTP) wird nicht unterstützt.

  • IGMP-Snooping wird von privaten VLANs nicht unterstützt.

  • Geroutete VLAN-Schnittstellen werden in privaten VLANs nicht unterstützt

  • Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.

  • Einige Konfigurations anweisungen können nicht auf einem sekundären VLAN angegeben werden. Sie können die folgenden Anweisungen nur auf der primären [edit vlans vlan-name switch-options] PVLAN-Ebene konfigurieren.

  • Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zuerst in ein normales VLAN ändern und die Änderung festlegen. Sie befolgen z. B. folgendes Verfahren:

    1. Ändern Sie das primäre VLAN in ein normales VLAN.

    2. Commit für die Konfiguration.

    3. Ändern Sie das normale VLAN in ein sekundäres VLAN.

    4. Commit für die Konfiguration.

    Befolgen Sie die gleiche Abfolge von Commits, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN, und commit diese Änderung, und ändern Sie dann das normale VLAN in ein primäres VLAN.

Die folgenden Funktionen werden auf PVLANs auf Junos-Switches nicht unterstützt, da sie den ELS-Konfigurationsstil unterstützen:

  • Egress VLAN Firewall-Filter

  • Ethernet-Ring-Schutz (ERP)

  • Flexibles VLAN-Tagging

  • Globale Mac-Statistiken

  • Integrierte Routing- und Bridging-Schnittstelle (IRB)

  • Multi-Chassis Link Aggregation Groups (MC-LAGs)

  • Port-Spiegelung

  • Q-in-Q-Tunneling

  • VLAN Spanning Tree Protocol (VSTP)

  • Voice over IP (VoIP)

Sie können die folgenden Anweisungen nur auf der primären [edit vlans vlan-name switch-options] PVLAN-Ebene konfigurieren:

Grundlegende Informationen zum PVLAN-Datenverkehr über mehrere Switches

Dieses Thema veranschaulicht und erklärt drei verschiedene Datenverkehrsströme in einem Beispiel-Multiswitch-Netzwerk, das mit einem privaten VLAN (PVLAN) konfiguriert ist. PVLANs schränken den Datenverkehrsfluss über ihre Member-Switch-Ports (die als "private Ports" bezeichnet werden) ein, sodass sie nur mit einem bestimmten Uplink-Trunkport oder mit angegebenen Ports innerhalb des gleichen VLANs kommunizieren.

In diesem Thema werden die

VLAN der Community, die nicht tagsgenden Datenverkehr sendet

In diesem Szenario sendet ein VLAN in Community-1 von Switch 1 an der Schnittstelle ge-0/0/0 nicht getagten Datenverkehr. Die Pfeile in Abbildung 7 diesem Datenverkehrsfluss stehen.

Abbildung 7: Community-VLAN sendet nicht-tags-DatenverkehrCommunity-VLAN sendet nicht-tags-Datenverkehr

In diesem Szenario erfolgt die folgende Aktivität auf Switch 1:

  • Community-1 VLAN auf Schnittstelle ge-0/0/0: Schulungen

  • pvlan100 an der Schnittstelle ge-0/0/0: Replikation

  • Community-1 VLAN auf Schnittstelle ge-0/0/12: Empfängt Datenverkehr

  • PVLAN-Trunk-Port: Datenverkehrsausgänge von ge-1/0/2 und von ae0 mit Tag 10

  • Community-2: Schnittstelle empfängt keinen Datenverkehr

  • Isolierte VLANs: Schnittstellen erhalten keinen Datenverkehr

In diesem Szenario erfolgt diese Aktivität auf Switch 3:

  • Community-1 VLAN auf Schnittstelle ge-0/0/23 (PVLAN-Trunk): Schulungen

  • pvlan100 an der Schnittstelle ge-0/0/23: Replikation

  • Community-1 VLAN auf Schnittstelle ge-0/0/9 und ge-0/0/16: Empfängt Datenverkehr

  • Promiscuous Trunk-Port: Datenverkehrsausgänge von ge-0/0/0 mit Tag 100

  • Community-2: Schnittstelle empfängt keinen Datenverkehr

  • Isolierte VLANs: Schnittstellen erhalten keinen Datenverkehr

Isoliertes VLAN, das nicht tagsgenden Datenverkehr sendet

In diesem Szenario sendet isoliertes VLAN1 auf Switch 1 an der Schnittstelle ge-1/0/0 nicht tagsbasierten Datenverkehr. Die Pfeile in Abbildung 8 diesem Datenverkehrsfluss stehen.

Abbildung 8: Isoliertes VLAN sendet nicht-tags-DatenverkehrIsoliertes VLAN sendet nicht-tags-Datenverkehr

In diesem Szenario erfolgt die folgende Aktivität auf Switch 1:

  • Isoliertes VLAN1 auf Schnittstelle ge-1/0/0: Schulungen

  • pvlan100 an der Schnittstelle ge-1/0/0: Replikation

  • Datenverkehrsausgänge durch pvlan-trunk ge-1/0/2 und ae0 mit Tag 50

  • Community-1 und Community-2: Schnittstellen erhalten keinen Datenverkehr

  • Isolierte VLANs: Schnittstellen erhalten keinen Datenverkehr

In diesem Szenario erfolgt diese Aktivität auf Switch 3:

  • VLAN an schnittstelle ge-0/0/23 (PVLAN-Trunkport): Schulungen

  • pvlan100 an Schnittstelle ge0/0/23: Replikation

  • Promiscuous Trunk-Port: Datenverkehrsausgänge von ge-0/0/0 mit Tag 100

  • Community-1 und Community-2: Schnittstellen erhalten keinen Datenverkehr

  • Isolierte VLANs: Kein Datenverkehr erhalten

PVLAN Tagged Traffic Sent on a Promiscuous Port

In diesem Szenario wird der PVLAN-Tagged-Datenverkehr über einen Promiscuous-Port gesendet. Die Pfeile in Abbildung 9 diesem Datenverkehrsfluss stehen.

Abbildung 9: PVLAN Tagged Traffic Sent on a Promiscuous PortPVLAN Tagged Traffic Sent on a Promiscuous Port

In diesem Szenario erfolgt die folgende Aktivität auf Switch 1:

  • pvlan100 VLAN an Schnittstelle ae0 (PVLAN-Trunk): Schulungen

  • Community-1, Community-2 und alle isolierten VLANs an der Schnittstelle ae0: Replikation

  • VLAN auf Schnittstelle ae0: Replikation

  • Datenverkehrsausgänge von pvlan-trunk ge-1/0/2 mit Tag 100

  • Community-1 und Community-2: Schnittstellen erhalten Datenverkehr

  • Isolierte VLANs: Erhalt von Datenverkehr

In diesem Szenario erfolgt diese Aktivität auf Switch 3:

  • pvlan100 an der Schnittstelle ge-0/0/0: Schulungen

  • Community-1, Community-2 und alle isolierten VLANs auf der Schnittstelle ge-0/0/0: Replikation

  • VLAN auf Schnittstelle ge-0/0/0: Replikation

  • Community-1 und Community-2: Schnittstellen erhalten Datenverkehr

  • Isolierte VLANs: Erhalt von Datenverkehr

Grundlegende Informationen zu sekundären VLAN-Trunk-Ports und Promiscuous Access-Ports auf PVLANs

VLANs beschränken Broadcasts auf bestimmte Benutzer. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie ein VLAN in mehrere Broadcast-Unterdomains aufteilen und im Wesentlichen sekundäre VLANs in ein primäres VLAN einteilen. PVLANs schränken den Datenverkehrsfluss über ihre Member-Ports ein, sodass diese Ports nur mit einem angegebenen Uplink-Trunkport oder mit angegebenen Ports innerhalb des gleichen VLANs kommunizieren. Der Uplink-Trunkport ist in der Regel mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden. Ein PVLAN enthält in der Regel viele private Ports, die nur mit einem einzelnen Uplink kommunizieren und so verhindern, dass die Ports miteinander kommunizieren.

Sekundäre Trunk-Ports und Promiscuous-Zugangsports erweitern die Funktionalität von PVLANs für die Verwendung in komplexen Bereitstellungen, z. B.:

  • VMware-Infrastrukturumgebungen für Unternehmen

  • Mehrtenant-Cloud-Services mit VM-Management

  • Webhosting-Dienste für mehrere Kunden

Beispielsweise können Sie sekundäre VLAN-Trunkports verwenden, um QFX-Geräte mit VMware-Servern zu verbinden, die mit privaten VLANs konfiguriert sind. Sie können promiscuous Access-Ports verwenden, um QFX-Geräte mit Systemen zu verbinden, die keine Trunk-Ports unterstützen, aber in privaten VLANs teilnehmen müssen.

In diesem Thema werden die folgenden Konzepte bezüglich PVLANs der QFX-Serie erläutert:

PVLAN-Porttypen

PVLANs können die folgenden verschiedenen Porttypen verwenden:

  • Promiscuous Trunk Port: Ein Promiscuous Port ist ein Upstream-Trunkport, der mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden ist. Ein promiscuous Trunk-Port kann mit allen Schnittstellen kommunizieren, einschließlich der isolierten und Community-Ports innerhalb eines PVLAN.

  • PVLAN-Trunkport: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunkport erforderlich, der die Switches umspannt. Der PVLAN-Trunkport ist ein Mitglied aller VLANs innerhalb des PVLAN (d. h. dem primären VLAN, den Community-VLANs und dem isolierten Interswitch-VLAN) und über nimmt Datenverkehr vom primären VLAN und allen sekundären VLANs. Es kann mit allen Ports kommunizieren.

    Die Kommunikation zwischen einem PVLAN-Trunkport und einem isolierten Port erfolgt in der Regel unidirektional. Die Mitgliedschaft eines PVLAN-Trunkports im isolierten Interswitch-VLAN ist "Egress-Only". Das bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunkport übertragen kann. Ein PVLAN-Trunkport führt Pakete jedoch nicht an einen isolierten Port weiter (wenn die Pakete nicht an einen promiscuous Access Port gesendet werden und daher an alle sekundären VLANs im selben primären VLAN wie der promiscuous Port weitergeleitet werden).

  • Sekundärer VLAN-Trunkport: Sekundäre VLAN-Trunk-Ports tragen sekundären VLAN-Datenverkehr weiter. Für ein bestimmtes privates (primäres) VLAN kann ein sekundärer VLAN-Trunkport Datenverkehr für nur ein sekundäres VLAN tragen. Ein sekundärer VLAN-Trunkport kann jedoch Datenverkehr für mehrere sekundäre VLANs portieren, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunkport Datenverkehr für ein Community-VLAN, das Teil des primären VLAN pvlan100 ist, und Datenverkehr für ein isoliertes VLAN, das Teil des primären VLAN pvlan400 ist, weiter tragen.

    Anmerkung:

    Wenn der Datenverkehr von einem sekundären VLAN-Trunkport ausgehend wird, transportiert er normalerweise den Tag des primären VLAN, dem der sekundäre Port gehört. Wenn Sie den Datenverkehr, der von einem sekundären VLAN-Trunkport aus geht, zum Beibehalten des sekundären VLAN-Tags nutzen möchten, verwenden Sie die extend-secondary-vlan-id Anweisung.

  • Community-Port: Community-Ports kommunizieren untereinander und mit ihren Promiscuous-Ports. Community-Ports dienen nur einer ausgewählten Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLAN voneinander getrennt.

  • Isolierter Zugriffsport: Isolierte Ports verfügen über Layer 2-Konnektivität nur mit Promiscuous-Ports und PVLAN-Trunk-Ports. Ein isolierter Zugriffsport kann nicht mit einem anderen isolierten Port kommunizieren, auch wenn diese beiden Ports Mitglieder desselben isolierten VLANs sind.

  • Promiscuous Access-Port: Diese Ports tragen nicht-tags-Datenverkehr und können nur Teil eines primären VLANs sein. Datenverkehr, der an einem promiscuous Access-Port einfügbar ist, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, zu denen der promiscuous Access Port gehört. In diesem Fall transportiert der Datenverkehr das entsprechende sekundäre VLAN-Tag, wenn er vom sekundären VLAN-Port abteust, wenn der sekundäre VLAN-Port ein Trunk-Port ist. Wenn der Datenverkehr über einen sekundären VLAN-Port ein- und ausgehend an einem promiscuous Access-Port liegt, wird der Datenverkehr nicht tags tags auf dem Ausgangspunkt versiert. Wenn Tagged Traffic-Ingresses auf einem Promiscuous Access-Port, wird der Datenverkehr verworfen.

Details zu sekundären VLAN-Trunkports

Beachten Sie bei der Verwendung eines sekundären VLAN-Trunkports Folgendes:

  • Sie müssen eine isolierte VLAN-ID für jedes primäre VLAN konfigurieren, an dem der sekundäre VLAN-Trunkport beteiligt ist. Dies gilt auch, wenn die sekundären VLANs, die der sekundäre VLAN-Trunkport trägt, auf einem einzigen Gerät begrenzt sind.

  • Wenn Sie einen Port als sekundären VLAN-Trunkport für ein bestimmtes primäres VLAN konfigurieren, können Sie auch den gleichen physischen Port zu einem der folgenden konfigurieren:

    • Sekundärer VLAN-Trunkport für ein weiteres primäres VLAN

    • PVLAN-Trunk für ein weiteres primäres VLAN

    • Promiscuous Trunk-Port

    • Zugriffsport für ein nicht privates VLAN

  • Datenverkehr, der an einem sekundären VLAN-Trunkport (mit einem sekundären VLAN-Tag) ein- und ausgehend an einem PVLAN-Trunkport einfing, hält das sekundäre VLAN-Tag auf dem Ausgangs-Port.

  • Datenverkehr, der an einem sekundären VLAN-Trunkport ein- und ausgehend an einem Promiscuous Trunk-Port einfügbar ist, hat den entsprechenden primären VLAN-Tag auf dem Ausgangspunkt.

  • Der Datenverkehr, der an einem sekundären VLAN-Trunkport ein- und ausgehend an einem promiscuous Access-Port einfing, wird nicht auf dem Ausgangspunkt versiert.

  • Datenverkehr, der an einem Promiscuous Trunk-Port mit einem primären VLAN-Tag ein- und ausgehend an einem sekundären VLAN-Trunkport einfügt, transportiert das entsprechende sekundäre VLAN-Tag auf dem Ausgangs-Port. Gehen Sie beispielsweise davon aus, dass Sie Folgendes auf einem Switch konfiguriert haben:

    • Primärer VLAN 100

    • Community VLAN 200 als Teil des primären VLAN

    • Promiscuous Trunk-Port

    • Sekundärer Trunkport, der Community-VLAN 200 transportiert

    Wenn ein Paket an einem Promiscuous Trunk-Port mit primärem VLAN-Tag 100 und dem Egress-Port am sekundären VLAN-Trunkport einträgt, transportiert es Tag 200 auf dem Ausgangspunkt.

Anwendungsszenarien

An derselben physischen Schnittstelle können Sie mehrere sekundäre VLAN-Trunk-Ports (in verschiedenen primären VLANs) konfigurieren oder einen sekundären VLAN-Trunkport mit anderen ARTEN von VLAN-Ports kombinieren. Die folgenden Anwendungsfälle bieten Beispiele für dieses Ziel und zeigen, wie der Datenverkehr in jedem Fall fließen würde:

Sekundäre VLAN-Trunks in zwei primären VLANs

Gehen Sie bei diesem Beispiel davon aus, dass Sie zwei Switches mit folgender Konfiguration haben:

  • Primäres VLAN pvlan100 mit Tag 100.

    • Isoliertes VLAN isoliert 200 mit Tag 200 ist Ein Mitglied von pvlan100.

    • Community VLAN comm300 mit Tag 300 ist ein Mitglied von pvlan100.

  • Primäres VLAN pvlan400 mit Tag 400.

    • Isoliertes VLAN isoliert 500 mit Tag 500 ist ein Mitglied von pvlan400.

    • Community VLAN comm600 mit Tag 600 ist ein Mitglied von pvlan400.

  • Die Schnittstelle xe-0/0/0 auf Switch 1 verbindet sich mit einem VMware-Server (nicht dargestellt), der mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist. Diese Schnittstelle ist mit sekundären VLAN-Trunkports konfiguriert, um Datenverkehr für sekundären VLAN comm600 und das isolierte VLAN (Tag 200), das Mitglied von pvlan100 ist, weiter zu tragen.

  • Interface xe-0/0/0 auf Switch 2 wird als Promiscuous Trunk Port oder Promiscuous Access-Port konfiguriert. Im letzteren Fall können Sie davon ausgehen, dass es sich mit einem System (nicht angezeigt) verbindet, das keine Trunk-Ports unterstützt, sondern mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist.

  • Auf Switch 1 ist xe-0/0/6 ein Mitglied von comm600 und wird als Trunk-Port konfiguriert.

  • Auf Switch 2 ist xe-0/0/6 ein Mitglied von comm600 und ist als Access Port konfiguriert.

Abbildung 10 zeigt diese Topologie und wie der Datenverkehr für isolierte 200 und comm600 nach dem Eindringen auf xe-0/0/0 auf Switch 1 fließen würde. Beachten Sie, dass Datenverkehr nur dort fließt, wo die Pfeile anzeigen. Es gibt z. B. keine Pfeile für Schnittstellen xe-0/0/2, xe-0/0/3 und xe-0/0/5 auf Switch 1, da an diesen Schnittstellen keine Pakete ausgehend werden.

Abbildung 10: Zwei sekundäre VLAN-Trunk-Ports an einer SchnittstelleZwei sekundäre VLAN-Trunk-Ports an einer Schnittstelle

Hier ist der Datenverkehrsfluss für das isolierte VLAN200:

  1. Nach dem Datenverkehr für isolierte200-Ingresses am sekundären VLAN-Trunkport auf Switch 1 geht er am PVLAN-Trunkport ab, da der PVLAN-Trunkport zu allen VLANs gehört. Die Pakete behalten beim Ausgehenden das sekundäre VLAN-Tag (200).
  2. Nach dem Datenverkehr für isolierte 200-Ingresses am sekundären VLAN-Trunkport auf Switch 2 geht er auf xe-0/0/0, der als Promiscuous Trunk-Port oder Promiscuous Access-Port konfiguriert ist, aus.
    • Wenn xe-0/0/0 auf Switch 2 als Promiscuous Trunk-Port konfiguriert wird, egressiert die Pakete an diesem Port mit dem primären VLAN-Tag (100).

    • Wenn xe-0/0/0 auf Switch 2 als promiscuous Access-Port konfiguriert ist, egressiert die Pakete an diesem Port nicht.

Beachten Sie, dass der Datenverkehr für das isolierte VLAN200 nicht beim isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder dem sekundären VLAN-Trunkport xe-0/0/2 auf Switch 2 ausgehend ist, obwohl diese beiden Ports dem gleichen isolierten VLAN gehören.

Hier ist der Datenverkehrsfluss für VLAN comm600:

  1. Nach dem Datenverkehr für den ein- und ausgehenden Comm600-Port am sekundären VLAN-Trunkport auf Switch 1 geht er am PVLAN-Trunkport ab, da der PVLAN-Trunkport zu allen VLANs gehört. Die Pakete behalten beim Ausgehenden das sekundäre VLAN-Tag (600).

  2. Datenverkehr für comm600 geht auch am Community-Port xe-0/0/6 auf Switch 1 ab. Der Traffic wird tagged, da der Port als Trunk konfiguriert ist.

  3. Nach dem Traffic für den Einstrom von comm600 am PVLAN-Trunkport auf Switch 2, geht er bei Konfiguration als Promiscuous-Trunkport auf xe-0/0/0 davon.

    Anmerkung:

    Wenn xe-0/0/0 auf Switch 2 als promiscuous Access-Port konfiguriert wird, kann der Port nur an einem primären VLAN teilnehmen. In diesem Fall ist der promiscuous Access-Port Teil von pvlan100, sodass der Datenverkehr für comm600 nicht abfing.

  4. Datenverkehr für comm600 geht auch am Community-Port xe-0/0/6 auf Switch 2 ab. In diesem Fall wird der Datenverkehr nicht verunglos, da der Portmodus als Zugriff verwendet wird.

Sekundärer VLAN-Trunk und Promiscuous Trunk

Nehmen wir an, dass Sie für dieses Beispiel zwei Switches mit denselben Ports und VLANs wie im vorherigen Fall konfiguriert haben. Dabei gilt jedoch eine Ausnahme: In diesem Fall wird xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunkport für VLAN pvlan100 konfiguriert und auch als Promiscuous Trunk-Port für pvlan400 konfiguriert.

Abbildung 11 zeigt diese Topologie und wie der Datenverkehr für isolierte 200 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Ingressing auf Switch 1 fließen würde.

Abbildung 11: Sekundärer VLAN-Trunk und Promiscuous Trunk an einer SchnittstelleSekundärer VLAN-Trunk und Promiscuous Trunk an einer Schnittstelle

Der Datenverkehrsfluss für das isolierte VLAN200 ist der gleiche wie im vorherigen Beispiel, der Datenfluss für comm600 ist jedoch anders. Hier ist der Datenverkehrsfluss für VLAN comm600:

  1. Nach dem Traffic für den Eindringen von Comm600 auf einem Community VLAN-Port xe-0/0/6 auf Switch 1 geht er auf Promiscuous Trunk-Port xe-0/0/0 auf Switch 1 ein. In diesem Fall enthält es das primäre VLAN-Tag (400).
  2. Datenverkehr für comm600 wird ebenfalls am PVLAN-Trunkport ausgehend, da der PVLAN-Trunkport Ein Mitglied aller VLANs ist. Die Pakete behalten beim Ausgehenden das sekundäre VLAN-Tag (600).
  3. Nach dem Traffic für den Einstrom von comm600 am PVLAN-Trunkport auf Switch 2, geht er bei Konfiguration als Promiscuous-Trunkport auf xe-0/0/0 davon.

    Er wird nicht auf xe-0/0/0 ausfügbar, wenn diese Schnittstelle als promiscuous Access-Port konfiguriert ist, da der Port nur von pvlan100 unterstützt wird.

  4. Datenverkehr für comm600 geht auch am Community-Port xe-0/0/6 auf Switch 2 ab.

Sekundärer VLAN-Trunk und PVLAN-Trunk

Nehmen wir an, dass Sie in diesem Fall zwei Switches mit denselben Ports und VLANs wie in den vorherigen Anwendungsfällen konfiguriert haben, außer dass xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunkport für VLAN pvlan100 konfiguriert und auch als PVLAN-Trunkport für pvlan400 konfiguriert ist.

Abbildung 12 zeigt diese Topologie und wie der Datenverkehr für comm300 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Ingressing auf Switch 1 fließen würde.

Abbildung 12: Sekundärer VLAN-Trunk und PVLAN-Trunk an einer SchnittstelleSekundärer VLAN-Trunk und PVLAN-Trunk an einer Schnittstelle

Hier ist der Datenverkehrsfluss für VLAN comm300:

  1. Nach dem Traffic für comm300-Ingresses am Community Port xe-0/0/3 auf Switch 1 geht er am PVLAN-Trunkport xe-0/0/1 aus, da dieser PVLAN-Trunkport zu allen VLANs gehört. Die Pakete behalten beim Egressieren das sekundäre VLAN-Tag (300).
    Anmerkung:

    Der Datenverkehr für comm300 geht nicht an xe-0/0/0 aus, da der sekundäre VLAN-Trunkport an dieser Schnittstelle isolierte200 und nicht comm300 überträgt.

  2. Nach dem Traffic für den Zugang zu Comm300 am PVLAN-Trunkport auf Switch 2 geht er auf xe-0/0/0, der als Promiscuous Trunk-Port oder Promiscuous Access-Port konfiguriert ist, aus.
    • Wenn xe-0/0/0 auf Switch 2 als Promiscuous Trunk-Port konfiguriert wird, egressiert die Pakete an diesem Port mit dem primären VLAN-Tag (100).

    • Wenn xe-0/0/0 auf Switch 2 als promiscuous Access-Port konfiguriert ist, egressiert die Pakete an diesem Port nicht.

  3. Datenverkehr für comm300 geht auch am Community-Port xe-0/0/3 auf Switch 2 ab.

Hier ist der Datenverkehrsfluss für VLAN comm600:

  1. Nach dem Traffic für den Einstrom von comm600 am PVLAN-Port xe-0/0/0 auf Switch 1 geht er am Community-Port xe-0/0/6 auf Switch 1 ab. Die Pakete behalten beim Ausgehenden den sekundären VLAN-Tag (600), da xe-0/0/6 ein Trunk-Port ist.

  2. Datenverkehr für comm600 egresses auch am PVLAN-Trunkport xe-0/0/1, da dieser PVLAN-Trunkport ein Mitglied aller VLANs ist. Die Pakete behalten beim Ausgehenden das sekundäre VLAN-Tag (600).

  3. Nach dem Traffic für den Einstrom von comm600 am PVLAN-Trunkport auf Switch 2, geht er bei Konfiguration als Promiscuous-Trunkport auf xe-0/0/0 davon.

    Er wird nicht auf xe-0/0/0 ausfügbar, wenn diese Schnittstelle als promiscuous Access-Port konfiguriert ist, da der Port nur von pvlan100 unterstützt wird.

  4. Datenverkehr für comm600 geht auch am Community-Port xe-0/0/6 auf Switch 2 ab. Dieser Datenverkehr wird im ausgehenden Bereich nicht taggedeutet, da xe-0/0/6 ein Zugriffsport ist.

Sekundäre VLAN-Trunk- und nicht private VLAN-Schnittstelle

Gehen wir davon aus, dass Sie für dieses Beispiel zwei Switches mit denselben Ports und VLANs konfiguriert haben, wie in den vorherigen Anwendungsfällen außer diesen Abweichungen:

  • Konfiguration für xe-0/0/0 auf Switch 1:

    • Sekundärer VLAN-Trunkport für VLAN pvlan100

    • Zugriffsport für vlan700

  • Port xe-0/0/6 auf beiden Switches ist ein Access-Port für vlan700.

Abbildung 13 zeigt diese Topologie und den Datenverkehr für isolierte 200 (Mitglied von pvlan100) und vlan700 nach dem Ingressing auf Switch 1.

Abbildung 13: Sekundärer VLAN-Trunk und nicht privater VLAN-Port an einer SchnittstelleSekundärer VLAN-Trunk und nicht privater VLAN-Port an einer Schnittstelle

Hier ist der Datenverkehrsfluss für das isolierte VLAN200:

  1. Nach dem Datenverkehr für isolierte 200-Ingresses am sekundären VLAN-Trunkport auf Switch 1 geht er am PVLAN-Trunkport ab. Die Pakete behalten beim Ausgehenden das sekundäre VLAN-Tag (200).
  2. Nach dem Datenverkehr für isolierte 200-Ingresses am PVLAN-Trunkport auf Switch 2, geht er auf xe-0/0/0, der als Promiscuous Trunk-Port oder Promiscuous Access-Port konfiguriert ist, aus.
    • Wenn xe-0/0/0 auf Switch 2 als Promiscuous Trunk-Port konfiguriert wird, egressiert die Pakete an diesem Port mit dem primären VLAN-Tag (100).

    • Wenn xe-0/0/0 auf Switch 2 als promiscuous Access-Port konfiguriert ist, egressiert die Pakete an diesem Port nicht.

Beachten Sie, dass der Datenverkehr für das isolierte VLAN200 nicht beim isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder dem sekundären VLAN-Trunkport xe-0/0/2 auf Switch 2 ausgehend ist, obwohl diese beiden Ports dem gleichen isolierten VLAN gehören.

Nachdem der Datenverkehr für vlan700-Ingresses am Access Port auf xe-0/0/0 auf Switch 1 konfiguriert ist, geht er am Access-Port xe-0/0/6 ab, da dieser Port dem selben VLAN gehört. Der Datenverkehr für vlan700 wird nicht an Switch 2 weitergeleitet (obwohl xe-0/0/6 auf Switch 2 ein Mitglied von vlan700 ist), da der PVLAN-Trunk auf xe-0/0/1 dieses VLAN nicht überträgt.

Dateneinfluss am promiscuous Access Port

Gehen wir davon aus, dass Sie für diesen Fall zwei Switches mit denselben Ports und VLANs wie im vorherigen Fall konfiguriert haben, außer dass xe-0/0/0 auf Switch 1 als Promiscuous Access-Port konfiguriert ist und Mitglied von pvlan100 ist. zeigt diese Topologie und wie nicht tagsgedriger Datenverkehr nach dem Ingressing durch diese Schnittstelle Abbildung 14 auf Switch 1 fließen würde.

Abbildung 14: Dateneinfluss am promiscuous Access PortDateneinfluss am promiscuous Access Port

Wie die Abbildung zeigt, wird nicht-tags zugänglicher Datenverkehr an einem promiscuous Access-Port an alle sekundären VLAN-Ports weitergeleitet, die Mitglieder des gleichen primären VLANs sind, denen der promiscuous Access-Port gehört. Der Datenverkehr wird nicht gekennzeichnet, wenn er von den Zugriffsports aus geht und über den Egress-Port (xe-0/0/2 auf Switch 2) egressiert wird.

Verwendung von 802.1X-Authentifizierung und privaten VLANs zusammen auf der gleichen Schnittstelle

Understanding Using 802.1X Authentication and PVLANs Together on the Same Interface

Sie können jetzt sowohl 802.1X-Authentifizierung als auch private VLANs (PVLANs) auf der gleichen Schnittstelle konfigurieren.

Die 802.1X-Authentifizierung von IEEE bietet Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff, indem der vollständige Datenverkehr zu und von einem Supplicant (Client) an der Schnittstelle blockiert wird, bis die Anmeldeinformationen des Supplicants präsentiert und dem Authentifizierungsserver (einem RADIUS-Server) abgestimmt werden.

Private VLANs (PVLANs) bieten eine Layer 2-Isolierung zwischen Ports innerhalb eines VLAN und teilen eine Broadcast-Domäne in mehrere separate Broadcast-Unterdomains durch das Erstellen sekundärer VLANs. PVLANs sind zur Beschränkung des Broadcast- und unbekannten Unicast-Datenverkehrs und zur Beschränkung der Kommunikation zwischen bekannten Hosts nützlich.

Auf einem Switch, der sowohl mit 802.1X-Authentifizierung als auch mit PVLANs konfiguriert ist, wird das Gerät authentifiziert und dann basierend auf der PVLAN-Konfiguration oder dem RADIUS-Profil einem sekundären VLAN zugewiesen, wenn ein neues Gerät an das PVLAN-Netzwerk angeschlossen wird. Das Gerät erhält dann eine IP-Adresse und erhält Zugriff auf das PVLAN-Netzwerk.

Anmerkung:

Dieses Dokument enthält keine detaillierten Informationen zur 802.1X-Authentifizierung oder privaten VLANs. Informationen dazu finden Sie in der Feature-Dokumentation, die diese individuellen Funktionen enthält. Informationen für 802.1X finden Sie unter Benutzerzugriff und Authentifizierungsbenutzerhandbuch. Informationen über PVLANs finden Sie unter Ethernet-Switching-Benutzerhandbuch.

Konfigurationsrichtlinien für die Kombination von 802.1X-Authentifizierung mit PVLANs

Beachten Sie die folgenden Richtlinien und Beschränkungen für die Konfiguration dieser beiden Funktionen an der gleichen Schnittstelle:

  • Eine 802.1X-fähige Schnittstelle kann nicht als Promiscuous-Schnittstelle (eine Schnittstelle, die konfigurationlich Teil des primären VLANs ist) oder als Interswitch-Link (ISL)-Schnittstelle konfiguriert werden.

  • Mehrere Benutzer können nicht über verschiedene VLANs authentifiziert werden, die zur gleichen PVLAN-Domäne auf einer logischen Schnittstelle gehören. Wenn beispielsweise die Schnittstelle ge-0/0/0 als schnittstelle konfiguriert und die Clients C1 und C2 authentifiziert und zu den dynamischen VLANs V1 und V2 hinzugefügt werden, müssen V1 und V2 zu verschiedenen supplicant multiple PVLAN-Domänen gehören.

  • Wenn das VoIP-VLAN und das Daten-VLAN unterschiedlich sind, müssen sich diese beiden VLANs in unterschiedlichen PVLAN-Domänen befinden.

  • Wenn die PVLAN-Mitgliedschaft geändert wird (d. h. eine Schnittstelle in einem anderen PVLAN neu konfiguriert wird), müssen Die Clients erneut authentifiziert werden.

Beispiel: Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration

Anforderungen

  • Junos OS Release-18.2R1 oder höher

  • EX2300-, EX3400- oder EX4300-Switch

Geben Sie zunächst den serverbasierten RADIUS an, der bzw. die als Authentifizierungsserver verwendet werden sollen. Siehe Spezifizieren RADIUS Serververbindungen auf Switches (CLI-Prozedur).

Überblick

Im folgenden Konfigurationsabschnitt wird die Konfiguration des Zugriffsprofils, die Konfiguration der 802.1X-Authentifizierung und schließlich die Konfiguration der VLANs (einschließlich PVLANs) erläutert.

Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration

Verfahren
CLI-Konfiguration
Schritt-für-Schritt-Verfahren

So konfigurieren Sie 802.1X-Authentifizierung und PVLANs in einer Konfiguration:

  1. Zugriffsprofil konfigurieren:

    Anmerkung:

    Das konfigurierte VoIP-VLAN darf kein PVLAN (primär, community oder isoliert) sein.

  2. Konfigurieren Sie die 802.1X-Einstellungen:

    Anmerkung:

    Das konfigurierte Daten-VLAN kann auch ein Community-VLAN oder ein isoliertes VLAN sein.

  3. Konfigurieren Sie die VLANs (einschließlich PVLANs):

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die folgenden show Befehle auf dem Switch eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Überprüfung

Sicherstellen, dass Mac-Adressen von Clients im primären VLAN gelernt werden
Zweck

Zeigen Sie, dass im primären VLAN eine Mac-Adresse des Clients gelernt wurde.

Aktion
Stellen Sie sicher, dass das primäre VLAN ein authentifiziertes VLAN ist
Zweck

Zeigen Sie, dass das primäre VLAN als authentifizierte VLAN angezeigt wird.

Aktion

Access Port-Sicherheit in privaten VLANs

Understanding Access Port Security on PVLANs

Sie können jetzt Sicherheitsfunktionen für den Zugriffsport, wie DHCP-Snooping, in privaten VLANs (PVLANs) aktivieren.

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Mit der PVLAN-Funktion können Sie eine Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains aufteilen, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird.

Ethernet-LANs sind anfällig für Angriffe wie Address Spoofing (Forging) und Layer 2 Denial of Service (DoS) auf Netzwerkgeräten. Die folgenden Sicherheitsfunktionen für den Zugangsport schützen Ihr Gerät vor Verlust von Informationen und Produktivität, die solche Angriffe verursachen können. Sie können diese Sicherheitsfunktionen jetzt auf einem PVLAN konfigurieren:

  • DHCP-Snooping: Filter und Blöcke, die DHCP-Servernachrichten auf nicht vertrauenswürdigen Ports senden. DHCP-Snooping baut eine Datenbank mit DHCP-Lease-Informationen, die als DHCP-Snooping-Datenbank bezeichnet wird, und verwaltet sie.

  • DHCPv6-Snooping – DHCP-Snooping für IPv6.

  • DHCP-Option 82 – auch als DHCP Relay Agent Information-Option bekannt. Schützt den Switch vor Angriffen wie Spoofing von IP-Adressen und MAC-Adressen und der Aushunger von DHCP-IP-Adressen. Option 82 stellt Informationen zum Netzwerkstandort eines DHCP-Clients zur Verfügung. Der DHCP-Server nutzt diese Informationen zur Implementierung von IP-Adressen oder anderen Parametern für den Client.

  • DHCPv6-Optionen:

    • Option 37 – Option mit Remote-ID für DHCPv6; fügt Informationen über den Netzwerkstandort des Remote-Hosts in DHCPv6-Pakete ein.

    • Option 18 – Circuit ID-Option für DHCPv6; fügt Informationen über den Client-Port in DHCPv6-Pakete ein.

    • Option 16 – Option mit Anbieter-ID für DHCPv6; fügt Informationen über den Anbieter der Client-Hardware in DHCPv6-Pakete ein.

  • Dynamic ARP Inspection (DAI): Verhindert ARP-Spoofing-Angriffe (Address Resolution Protocol). ARP-Anforderungen und -Antworten werden mit Einträgen in der DHCP-Snoopingdatenbank verglichen, und Filterungsentscheidungen werden anhand der Ergebnisse dieser Vergleiche getroffen.

  • IP Source Guard – Verringert die Auswirkungen von IP-Adressen-Spoofing-Angriffen auf das Ethernet-LAN; überprüft die Quell-IP-Adresse im Paket, das über eine nicht vertrauenswürdige Zugriffsschnittstelle mithilfe der DHCP-Snooping-Datenbank gesendet wird. Wenn das Paket nicht validiert werden kann, wird es verworfen.

  • IPv6 Source Guard – IP Source Guard für IPv6.

  • IPv6 Neighbor Discovery Inspection – Verhindert IPv6-Adressen-Spoofing-Angriffe; Vergleich von Neighbor Discovery-Anforderungen und Antworten mit Einträgen in der DHCPv6-Snooping-Datenbank, und Filterentscheidungen werden anhand der Ergebnisse dieser Vergleiche getroffen.

Anmerkung:

Dieses Dokument enthält keine detaillierten Informationen über die Sicherheitsfunktionen für Zugriffsport oder PVLANs. Informationen dazu finden Sie in der Feature-Dokumentation, die diese individuellen Funktionen enthält. Informationen zur Portsicherheit finden Sie im Administrationshandbuch für Sicherheitsservices. Informationen über PVLANs finden Sie unter Ethernet-Switching-Benutzerhandbuch.

Konfigurationsrichtlinien für die Putting Access Port Security Features on PVLANs (Konfigurationsrichtlinien für die Installation von Sicherheitsfunktionen für den Zugriffsport in PVLANs)

Berücksichtigen Sie die folgenden Richtlinien und Beschränkungen für die Konfiguration von Sicherheitsfunktionen für den Zugriffsport in PVLANs:

  • Sie müssen die gleichen Sicherheitsfunktionen für den Zugriffsport sowohl auf das primäre VLAN als auch auf alle sekundären VLANs anwenden.

  • Ein PVLAN kann nur eine integrierte Routing und Bridging (IRB)-Schnittstelle haben, und die IRB-Schnittstelle muss sich im primären VLAN finden.

  • Einschränkungen von Sicherheitskonfigurationen für Zugriffsport bei PVLANs sind die gleichen wie bei Konfigurationen der Sicherheitsfunktionen für Zugriffsport, die nicht in PVLANs sind. Informationen zur Sicherheitsdokumentation für Access Ports finden Sie im Leitfaden Security Services Administration.

Beispiel: Konfigurieren der Zugriffsportsicherheit in einem PVLAN

Anforderungen

  • Junos OS Release-18.2R1 oder höher

  • EX4300-Switch

Überblick

Der folgende Abschnitt zur Konfiguration zeigt:

  • Konfiguration eines privaten VLAN mit dem primären VLAN ( ) und seinen drei sekundären vlan-pri VLANs – Community-VLANs (und vlan-hrvlan-finance ) und isoliertes VLAN ( vlan-iso ).

  • Konfiguration der Schnittstellen, die verwendet werden, um Kommunikationen zwischen den Schnittstellen an diesen VLANs zu senden.

  • Konfiguration der Funktionen für die Zugriffssicherheit auf den primären und sekundären VLANs, aus denen das PVLAN umfasst.

Tabelle 5 die Einstellungen für die Beispieltopologie auf.

Tabelle 5: Komponenten der Topologie für die Konfiguration eines PVLAN mit Sicherheitsfunktionen für den Zugriffsport
Schnittstelle Beschreibung

ge-0/0/0.0

Primäre VLAN (vlan1-pri)-Trunkschnittstelle

ge-0/0/11.0

Benutzer 1, HR-Community (vlan-std.)

ge-0/0/12.0

Benutzer 2, HR-Community (vlan-std.)

ge-0/0/13.0

Benutzer 3, Finance Community (vlan-finance)

ge-0/0/14.0

Benutzer 4, Finance Community (vlan-finance)

ge-0/0/15.0

Mailserver, isoliert (vlan-iso)

ge-0/0/16.0

Backup-Server, isoliert (vlan-iso)

ge-1/0/0.0

Primäre VLAN (vlan-pri)-Trunkschnittstelle

Konfigurieren der Zugriffsportsicherheit in einem PVLAN

Verfahren
CLI-Konfiguration
Schritt-für-Schritt-Verfahren

Zur Konfiguration eines privaten VLAN (PVLAN) und zum Konfigurieren der Sicherheitsfunktionen für den Zugriffsport auf diesem PVLAN:

  1. PVLAN konfigurieren: Erstellen Sie das primäre VLAN und die sekundären VLANs, und weisen Sie diesen VLAN-IDs zu. Verbinden Sie Schnittstellen mit den VLANs. (Details zur Konfiguration von VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI Prozedur).

  2. Konfigurieren Sie Sicherheitsfunktionen für den Zugriffsport auf dem primären VLAN und allen sekundären VLANs:

    Anmerkung:

    Wenn Sie ARP-Prüfung, IP-Quellschutz, IPv6-Quellschutz, Neighbor Discovery Inspection, DHCP Option 82 oder DHCPv6-Optionen konfigurieren, werden DHCP-Snooping und DHCPv6-Snooping automatisch konfiguriert.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die folgenden show Befehle auf dem Switch eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Überprüfung

Stellen Sie sicher, dass die Funktionen der Zugangssicherheit wie erwartet funktionieren
Zweck

Stellen Sie sicher, dass die Sicherheitsfunktionen für den Zugriffsport, die Sie auf Ihrem PVLAN konfiguriert haben, wie erwartet funktionieren.

Aktion

Verwenden Sie show dhcp-security die und die clear dhcp-security CLI, um sicherzustellen, dass die Funktionen wie erwartet funktionieren. Details zu diesen Befehlen finden Sie im Security Services Administration Guide.

Erstellen eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung (CLI Verfahren)

Anmerkung:

Diese Aufgabe verwendet Junos OS für Switches mit Unterstützung des ElS-Konfigurationsstils (Enhanced Layer 2 Software). Wenn Auf Ihrem Switch der EX-Serie Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie (CLI Prozedur). Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.

Anmerkung:

Private VLANs werden auf Switches QFX5100 Switches QFX10002 Switches, auf denen Junos OS Version 15.1X53 ausgeführt wird, nicht unterstützt.

Aus Sicherheitsgründen ist es oft nützlich, den Broadcast- und unbekannten Unicast-Datenverkehr zu beschränken oder die Kommunikation zwischen bekannten Hosts zu beschränken. Private VLANs (PVLANs) ermöglichen Ihnen die Aufteilung einer Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Unterdomains (sekundäre VLANs), so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. In diesem Verfahren wird die Erstellung eines PVLAN auf einem einzelnen Switch beschrieben.

Anmerkung:

Sie müssen für jedes sekundäre VLAN eine VLAN-ID angeben, auch wenn das PVLAN auf einem einzelnen Switch konfiguriert ist.

Sie müssen das primäre VLAN nicht vorkonfiguriert haben. In diesem Thema wird gezeigt, dass das primäre VLAN als Teil dieses PVLAN-Konfigurationsverfahrens konfiguriert wird.

Eine Liste von Richtlinien zur Konfiguration von PVLANs finden Sie unter Understanding Private VLANs (Verstehen privater VLANs).

So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:

  1. Legen Sie die VLAN-ID für das primäre VLAN fest:
  2. Konfigurieren Sie mindestens eine Schnittstelle innerhalb des primären VLANs, sodass sie mit allen Subdomains des PVLAN kommuniziert. Diese Schnittstelle fungiert als Promiscuous-Port. Dabei kann es sich entweder um einen Trunk-Port oder einen Zugangsport machen.
  3. Konfigurieren Sie eine weitere promiscuous Schnittstelle des primären VLAN als Trunkport, um das PVLAN mit dem externen Router oder Switch zu verbinden:
  4. Erstellen Sie ein isoliertes VLAN, indem Sie die Option für und eine isolatedprivate-vlan VLAN-ID für das isolierte VLAN festlegen:
    Anmerkung:

    Sie können in einem privaten VLAN nur ein isoliertes VLAN erstellen. Das Festlegen des VLAN-Namens für das isolierte VLAN ist optional. Die Konfiguration der VLAN-ID ist erforderlich.

  5. Erstellen Sie ein Community-VLAN, indem Sie die Option für wählen und eine communityprivate-vlan VLAN-ID für dieses Community-VLAN festlegen:
    Anmerkung:

    Um zusätzliche Community-VLANs zu erstellen, wiederholen Sie diesen Schritt und geben Sie einen anderen Namen für die Community-VLAN ein. Das Festlegen des VLAN-Namens für das Community-VLAN ist optional. Die Konfiguration der VLAN-ID ist erforderlich.

  6. Verbinden Sie das isolierte VLAN mit dem primären VLAN:
  7. Verbinden Sie jede Community-VLAN mit dem primären VLAN:
  8. Falls Sie dies noch nicht getan haben, konfigurieren Sie mindestens eine Schnittstelle des isolierten VLAN.
  9. Falls Sie dies noch nicht getan haben, konfigurieren Sie mindestens eine Schnittstelle des Community-VLAN.
    Anmerkung:

    Wiederholen Sie den gleichen Schritt in Richtung anderer Community-VLANs, die Sie in das PVLAN mit ein- oder ausdingen möchten.

Erstellen eines privaten VLAN auf einem einzelnen QFX-Switch

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN (PVLAN)-Funktion ermöglicht Ihnen die Aufteilung einer Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains, so dass im Wesentlichen ein sekundäres VLAN in einem primären VLAN wird. In diesem Thema wird die Konfiguration eines PVLAN auf einem einzelnen Switch beschrieben.

Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Sie müssen das primäre VLAN nicht vorkonfiguriert, es wird als Teil dieses Verfahrens konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzelnen Switch konfiguriert werden.

Denken Sie bei der Konfiguration eines PVLAN an diese Regeln:

  • Das primäre VLAN muss ein TAGGED VLAN sein.

  • Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren. Sie müssen auch das primäre VLAN per pvlan-Anweisung als privat konfigurieren.

  • Zur Konfiguration eines isolierten VLAN müssen Sie zuerst das primäre VLAN und den PVLAN-Trunkport konfigurieren.

Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge abschließen, verletzen Sie nicht diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:

  1. Geben Sie den Namen und die VLAN-ID (802.1Q-Tag) für das primäre VLAN ein:
  2. VlaN als privat konfigurieren:
  3. Konfiguration der Trunkschnittstellen für das primäre VLAN:
  4. Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:
  5. Konfigurieren Sie die Zugriffschnittstellen für die Community (sekundäre) VLANs:
  6. Fügen Sie die Zugangsschnittstellen zu den Community-VLANs hinzu:
  7. Legen Sie für jede Community VLAN das primäre VLAN fest:
  8. Konfiguration isolierter Ports:

Erstellen eines privaten VLAN auf einem einzelnen Switch der EX-Serie (CLI Verfahren)

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht Ihnen die Aufteilung einer Broadcast-Domäne, die auch als primäres VLAN bekannt ist, in mehrere isolierte Broadcast-Unterdomains, die auch als sekundäre VLANs bekannt sind. Die Aufteilung des primären VLAN in sekundäre VLANs verschachtelt im Wesentlichen ein VLAN in einem anderen VLAN. In diesem Thema wird die Konfiguration eines PVLAN auf einem einzelnen Switch beschrieben.

Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Im Gegensatz zu den sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfiguriert werden. Mit diesem Verfahren wird die vollständige Konfiguration des primären VLANs ermöglicht.) Obwohl Tags nicht benötigt werden, wenn ein sekundäres VLAN auf einem einzelnen Switch konfiguriert wird, beeinträchtigt die Konfiguration eines sekundären VLANs als Tagged nicht die Funktionalität. Anweisungen zum Konfigurieren sekundärer VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.

Denken Sie bei der Konfiguration eines PVLAN auf einem einzelnen Switch an diese Regeln:

  • Das primäre VLAN muss ein TAGGED VLAN sein.

  • Die Konfiguration eines VoIP-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.

So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:

  1. Legen Sie die VLAN-ID für das primäre VLAN fest:
  2. Legen Sie die Schnittstellen und den Port-Modi fest:
  3. Konfigurieren Sie die Zugriffsports im primären VLAN, damit Pakete nicht an andere weitergeleitet werden:
  4. Konfigurieren Sie für jedes Community-VLAN Zugangsschnittstellen:
  5. Legen Sie für jede Community VLAN das primäre VLAN fest:

Isolierte VLANs werden nicht als Teil dieses Prozesses konfiguriert. Stattdessen werden sie intern erstellt, wenn sie im primären VLAN aktiviert sind und das no-local-switching isolierte VLAN Zugriffschnittstellen für Mitglieder auf hat.

Eine optionale Routing-Option zwischen isolierten und Community-VLANs durch Verwendung einer Routing-VLAN-Schnittstelle (RVI) anstelle eines promiscuous-Ports, der mit einem Router verbunden ist, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle ineinem privaten VLAN auf einem Switch der EX-Serie.

Anmerkung:

Es werden EX8200 Switches EX8200 Virtual Chassis von einem RVI für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne unterstützt.

Erstellen eines privaten VLAN mit mehreren Switches der QFX-Serie

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN (PVLAN)-Funktion ermöglicht Ihnen die Aufteilung einer Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains, so dass im Wesentlichen ein sekundäres VLAN in einem primären VLAN wird. In diesem Thema wird die Konfiguration eines PVLAN für mehrere Switches beschrieben.

Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Sie müssen das primäre VLAN nicht vorkonfiguriert, es wird als Teil dieses Verfahrens konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzelnen Switch konfiguriert werden.

Für die Erstellung von PVLANs gelten die folgenden Regeln:

  • Das primäre VLAN muss ein TAGGED VLAN sein.

  • Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren. Sie müssen auch das primäre VLAN per pvlan-Anweisung als privat konfigurieren.

  • Zur Konfiguration eines isolierten VLAN müssen Sie zuerst das primäre VLAN und den PVLAN-Trunkport konfigurieren.

Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge abschließen, verletzen Sie nicht diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN für die Spaning mehrerer Switches:

  1. Geben Sie den Namen und die VLAN-ID (802.1Q-Tag) für das primäre VLAN ein:
  2. VlaN als privat konfigurieren:
  3. Konfiguration der Trunkschnittstellen für das primäre VLAN:
  4. Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:
  5. Konfigurieren Sie die Zugriffschnittstellen für die Community (sekundäre) VLANs:
  6. Fügen Sie die Zugangsschnittstellen zu den Community-VLANs hinzu:
  7. Legen Sie für jede Community VLAN das primäre VLAN fest:
  8. Konfigurieren Sie eine isolierte VLAN-ID zum Erstellen einer isolierten Interswitch-Domäne, die die Switches umspannt:
  9. Konfiguration isolierter Ports:

Erstellen eines privaten VLAN über mehrere Switches der EX-Serie mit ELS-Unterstützung (CLI Verfahren)

Anmerkung:

Diese Aufgabe verwendet Junos OS für Switches der EX-Serie mit Unterstützung des Konfigurationsstils der Enhanced Layer 2 Software (ELS) Wenn Ihr Switch Software austrägt, die ELS nicht unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLAN, das mehrere Switches der EX-Serie überspannt (CLI-Prozedur). Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.

Anmerkung:

Private VLANs werden auf Switches QFX5100 Switches QFX10002 Switches, auf denen Junos OS Version 15.1X53 ausgeführt wird, nicht unterstützt.

Aus Sicherheitsgründen ist es oft nützlich, den Broadcast- und unbekannten Unicast-Datenverkehr zu beschränken oder die Kommunikation zwischen bekannten Hosts zu beschränken. Private VLANs (PVLANs) ermöglichen Ihnen die Aufteilung einer Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Unterdomains (sekundäre VLANs), so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. In diesem Verfahren wird die Konfiguration eines PVLAN für die Spaning mehrerer Switches beschrieben.

Eine Liste von Richtlinien zur Konfiguration von PVLANs finden Sie unter Understanding Private VLANs (Verstehen privater VLANs).

Um ein PVLAN für die Spaning mehrerer Switches zu konfigurieren, führen Sie auf allen Switches, die an PVLAN teilnehmen, folgende Prozeduren durch::

  1. Erstellen Sie das primäre VLAN, indem Sie den eindeutigen VLAN-Namen festlegen und ein 802.1Q-Tag für das VLAN angeben:
  2. Konfigurieren Sie auf dem Switch, der mit einem Router verbunden wird, eine Promiscuous-Schnittstelle als Trunkport, um das PVLAN mit dem Router zu verbinden:
  3. Konfigurieren Sie auf allen Switches eine Trunkschnittstelle als Inter-Switch Link (ISL), die verwendet wird, um die Switches miteinander zu verbinden:
  4. Erstellen Sie ein isoliertes VLAN innerhalb des primären VLAN, indem Sie die Option für auswählen und eine isolatedprivate-vlan VLAN-ID für das isolierte VLAN festlegen:
    Anmerkung:

    Sie können in einem privaten VLAN nur ein isoliertes VLAN erstellen. Das isolierte VLAN kann Elementeschnittstellen von mehreren Switches enthalten, die das PVLAN ermöglichen. Das Festlegen des VLAN-Namens für das isolierte VLAN ist optional. Die Konfiguration der VLAN-ID ist erforderlich.

  5. Erstellen Sie ein Community-VLAN innerhalb des primären VLAN, indem Sie die Option für wählen und eine VLAN-ID für diese Community communityprivate-vlan VLAN festlegen::
    Anmerkung:

    Um zusätzliche Community-VLANs zu erstellen, wiederholen Sie diesen Schritt und geben Sie einen anderen Namen für die Community-VLAN ein. Das Festlegen des VLAN-Namens für das Community-VLAN ist optional. Die Konfiguration der VLAN-ID ist erforderlich.

  6. Verbinden Sie das isolierte VLAN mit dem primären VLAN:
  7. Verbinden Sie jede Community-VLAN mit dem primären VLAN:
  8. Falls Sie dies noch nicht getan haben, konfigurieren Sie mindestens eine Zugriffsschnittstelle, um Mitglied des isolierten VLAN zu sein.
  9. Falls Sie dies noch nicht getan haben, konfigurieren Sie mindestens eine Zugriffsschnittstelle, um Mitglied des Community-VLAN zu werden.
    Anmerkung:

    Wiederholen Sie diesen Schritt für die anderen Community-VLANs, die Sie im PVLAN mit einschlingen.

Erstellen eines privaten VLAN über mehrere Switches der EX-Serie (CLI verfahren)

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne, die auch als primäres VLAN bekannt ist, in mehrere isolierte Broadcast-Unterdomains, die auch als sekundäre VLANs bekannt sind, zu aufteilen. Die Aufteilung des primären VLAN in sekundäre VLANs verschachtelt im Wesentlichen ein VLAN in einem anderen VLAN. In diesem Thema wird die Konfiguration eines PVLAN für mehrere Switches beschrieben.

Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Im Gegensatz zu den sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfiguriert werden. Mit diesem Verfahren wird die vollständige Konfiguration des primären VLANs ermöglicht.) Anweisungen zum Konfigurieren sekundärer VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.

Für die Erstellung von PVLANs gelten die folgenden Regeln:

  • Das primäre VLAN muss ein TAGGED VLAN sein.

  • Vor der Konfiguration der sekundären VLANs müssen Sie das primäre VLAN und den PVLAN-Trunkport konfigurieren.

  • Die Konfiguration eines VoIP-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.

  • Wenn das Multiple VLAN Registration Protocol (MVRP) auf dem PVLAN-Trunkport konfiguriert ist, muss die Konfiguration der sekundären VLANs und des PVLAN-Trunkports im selben Commit-Vorgang durchgeführt werden.

So konfigurieren Sie ein privates VLAN für die Spaning mehrerer Switches:

  1. Konfigurieren Sie einen Namen und ein 802.1Q-Tag für das primäre VLAN:
  2. Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:
  3. Legen Sie die PVLAN-Trunkschnittstelle fest, die das primäre VLAN mit dem benachbarten Switch verbindet:
  4. Konfigurieren Sie einen Namen und ein 802.1Q-Tag für ein Community-VLAN, das die Switches umfasst:
  5. Fügen Sie Dem Community-VLAN Zugangsschnittstellen hinzu:
  6. Geben Sie das primäre VLAN der angegebenen Community VLAN an:
  7. Fügen Sie die isolierte Schnittstelle zum angegebenen primären VLAN hinzu:
    Anmerkung:

    Um eine isolierte Schnittstelle zu konfigurieren, gehören Sie sie zu den Mitgliedern des primären VLAN, konfigurieren Sie sie aber nicht als zu einem der Community-VLANs.

  8. Legen Sie das 802.1Q-Tag des isolierten Interswitch-VLANs fest:

    802.1Q-Tags sind für isolierte Interswitch-VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, durch den ein Trunking-Gerät eine 4-Byte VLAN-Frame-Identifizierungs-Registerkarte in den Paket-Header einträgt.

Eine optionale Routing-Option zwischen isolierten und Community-VLANs durch Verwendung einer Routing-VLAN-Schnittstelle (RVI) anstelle eines promiscuous-Ports, der mit einem Router verbunden ist, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle ineinem privaten VLAN auf einem Switch der EX-Serie.

Anmerkung:

Es werden EX8200 Switches EX8200 Virtual Chassis von einem RVI für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne unterstützt.

Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung

Anmerkung:

In diesem Beispiel wird Junos OS für Switches verwendet, die den Konfigurationsstil der Enhanced Layer 2 Software (ELS) unterstützen. Wenn Auf Ihrem EX-Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der EX-Serie. Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.

Anmerkung:

Private VLANs werden auf Switches QFX5100 Switches QFX10002 Switches, auf denen Junos OS Version 15.1X53 ausgeführt wird, nicht unterstützt.

Aus Sicherheitsgründen ist es oft nützlich, den Broadcast- und unbekannten Unicast-Datenverkehr zu beschränken oder die Kommunikation zwischen bekannten Hosts zu beschränken. Private VLANs (PVLANs) ermöglichen Ihnen die Aufteilung einer Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Unterdomains (sekundäre VLANs), so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird.

In diesem Beispiel wird die Erstellung eines PVLAN auf einem einzelnen Switch beschrieben:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein Junos OS-Switch

  • Junos OS Release 14.1X53-D10 oder höher für Switches der EX-Serie

    Junos OS Release 14.1X53-D15 oder höher für Switches der QFX-Serie

Überblick und Topologie

Sie können Abonnentengruppen isolieren, um die Sicherheit und Effizienz zu verbessern. In diesem Konfigurationsbeispiel wird in einer einfachen Topologie veranschaulicht, wie ein PVLAN mit einem primären VLAN und drei sekundären VLANs (einem isolierten VLAN und zwei Community-VLANs) erstellt wird.

Tabelle 6 listet in diesem Beispiel die Schnittstellen der Topologie auf.

Tabelle 6: Schnittstellen der Topologie für die Konfiguration eines PVLAN
Schnittstelle Beschreibung

ge-0/0/0

ge-1/0/0

Promiscuous-Mitglieder-Ports

ge-0/0/11ge-0/0/12

VLAN-Mitglieder-Ports für die PERSONAL-Community

ge-0/0/13ge-0/0/14

VLAN-Mitglieder-Ports der Finanzgemeinschaft

ge-0/0/15ge-0/0/16

Isolierte Member-Ports

Tabelle 7 Liste der im Beispiel verwendeten VLAN-IDs der Topologie auf.

Tabelle 7: VLAN-IDs in the Topology for Configuring a PVLAN (VLAN-IDs in der Topologie für die Konfiguration eines PVLAN)
VLAN-ID Beschreibung

100

Primäres VLAN

200

PERSONAL-Community VLAN

300

VLAN der Finanzgemeinschaft

400

Isoliertes VLAN

Abbildung 15 zeigt die Topologie für dieses Beispiel.

Abbildung 15: Topologie eines privaten VLAN auf einem einzelnen Switch der EX-SerieTopologie eines privaten VLAN auf einem einzelnen Switch der EX-Serie

Konfiguration

Sie können ein vorhandenes VLAN als Grundlage für Ihr privates PVLAN nutzen und innerhalb dieses Subdomains erstellen. In diesem Beispiel wird ein primäres VLAN unter Verwendung des VLAN-Namens vlan-pri als Teil des Vorgangs erstellt.

Führen Sie zum Konfigurieren eines PVLAN die folgenden Aufgaben aus:

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, um ein PVLAN schnell zu erstellen und zu konfigurieren, und fügen Sie sie in das Switch-Terminal-Fenster ein:

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das PVLAN:

  1. Erstellen Sie das primäre VLAN (in diesem Beispiel der vlan-pri Name) des privaten VLAN:

  2. Erstellen Sie ein isoliertes VLAN und weisen Sie ihm eine VLAN-ID zu:

  3. Erstellen Sie die HR-Community VLAN und weisen Sie ihr eine VLAN-ID zu:

  4. Erstellen Sie das VLAN der Finanzgemeinschaft, und weisen Sie ihr eine VLAN-ID zu:

  5. Die sekundären VLANs mit dem primären VLAN verknüpfen:

  6. Legen Sie die Schnittstellen auf die entsprechenden Schnittstellenmodi fest:

  7. Konfigurieren Sie eine Promiscuous Trunk-Schnittstelle des primären VLAN. Diese Schnittstelle wird vom primären VLAN für die Kommunikation mit den sekundären VLANs verwendet.

  8. Konfigurieren Sie eine weitere Trunkschnittstelle (es ist auch eine Promiscuous-Schnittstelle) des primären VLAN, um das PVLAN mit dem Router zu verbinden.

Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der QFX-Serie

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und sogar die Kommunikation zwischen bekannten Hosts zu beschränken. Die private VLAN-Funktion (PVLAN) ermöglicht einem Administrator die Aufteilung einer Broadcast-Domäne auf mehrere isolierte Broadcast-Unterdomains, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird.

In diesem Beispiel wird die Erstellung eines PVLAN auf einem einzelnen Switch beschrieben:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein QFX3500 Gerät

  • Junos OS 12.1 oder höher für die QFX-Serie

Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Siehe Konfigurieren von VLANs auf Switches .

Überblick und Topologie

In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird eine einfache Topologie veranschaulicht, wie ein PVLAN mit einem primären VLAN und zwei Community-VLANs, einem für die Personalabteilung und einem für die Finanzabteilung sowie zwei isolierten Ports (einen für den Mail-Server und ein anderer für den Backup-Server) erstellt wird.

Tabelle 8 listet die Einstellungen für die Beispieltopologie auf.

Tabelle 8: Komponenten der Topologie für die Konfiguration eines PVLAN
Schnittstelle Beschreibung

ge-0/0/0.0

Primärer VLAN ( pvlan100 ) Trunkschnittstelle

ge-0/0/11.0

Benutzer 1, HR-Community ( hr-comm )

ge-0/0/12.0

Benutzer 2, HR-Community ( hr-comm )

ge-0/0/13.0

Benutzer 3, Finanz-Community ( finance-comm )

ge-0/0/14.0

Benutzer 4, Finanz-Community ( finance-comm )

ge-0/0/15.0

Mailserver, isoliert ( isolated )

ge-0/0/16.0

Backup-Server, isoliert ( isolated )

ge-1/0/0.0

Primärer VLAN ( pvlan100 ) Trunkschnittstelle

Konfiguration

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, um ein PVLAN schnell zu erstellen und zu konfigurieren, und fügen Sie sie in das Switch-Terminal-Fenster ein:

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das PVLAN:

  1. Legen Sie die VLAN-ID für das primäre VLAN fest:

  2. Legen Sie die Schnittstellen und den Port-Modi fest:

  3. Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:

    Anmerkung:

    Das primäre VLAN muss ein TAGGED VLAN sein.

  4. Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:

  5. Konfigurieren Sie für jedes sekundäre VLAN Zugriffsschnittstellen:

    Anmerkung:

    Wir empfehlen, dass sekundäre VLANs nicht-tags werden. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen. Bei der Konfiguration eines sekundären VLAN auf einem einzelnen Switch werden die Tags jedoch nicht verwendet.

  6. Legen Sie für jede Community VLAN das primäre VLAN fest:

  7. Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Sicherstellen, dass das private VLAN und sekundäre VLANs erstellt wurden

Zweck

Stellen Sie sicher, dass das primäre VLAN und sekundäre VLANs auf dem Switch ordnungsgemäß erstellt wurden.

Aktion

Verwenden Sie show vlans den Befehl:

Bedeutung

Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde und identifiziert die zugehörigen Schnittstellen und sekundären VLANs.

Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der EX-Serie

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains zu unterteilen, so dass im Wesentlichen ein VLAN in ein VLAN einträgt.

In diesem Beispiel wird die Erstellung eines PVLAN auf einem einzelnen Switch der EX-Serie beschrieben:

Anmerkung:

Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein Switch der EX-Serie

  • Junos OS 9.3 oder höher für Switches der EX-Serie

Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.

Überblick und Topologie

In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird eine einfache Topologie veranschaulicht, wie ein PVLAN mit einem primären VLAN und zwei Community-VLANs, einem für die Personalabteilung und einem für die Finanzabteilung sowie zwei isolierten Ports (einen für den Mail-Server und ein anderer für den Backup-Server) erstellt wird.

Tabelle 9 die Einstellungen für die Beispieltopologie auf.

Tabelle 9: Komponenten der Topologie für die Konfiguration eines PVLAN
Schnittstelle Beschreibung

ge-0/0/0.0

Primärer VLAN ( vlan1 ) Trunkschnittstelle

ge-0/0/11.0

Benutzer 1, HR-Community ( hr-comm )

ge-0/0/12.0

Benutzer 2, HR-Community ( hr-comm )

ge-0/0/13.0

Benutzer 3, Finanz-Community ( finance-comm )

ge-0/0/14.0

Benutzer 4, Finanz-Community ( finance-comm )

ge-0/0/15.0

Mailserver, isoliert ( isolated )

ge-0/0/16.0

Backup-Server, isoliert ( isolated )

ge-1/0/0.0

Primärer VLAN ( pvlan ) Trunkschnittstelle

Abbildung 16 zeigt die Topologie für dieses Beispiel.

Abbildung 16: Topologie eines privaten VLAN auf einem einzelnen Switch der EX-SerieTopologie eines privaten VLAN auf einem einzelnen Switch der EX-Serie

Konfiguration

Führen Sie zum Konfigurieren eines PVLAN die folgenden Aufgaben aus:

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, um ein PVLAN schnell zu erstellen und zu konfigurieren, und fügen Sie sie in das Switch-Terminal-Fenster ein:

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das PVLAN:

  1. Legen Sie die VLAN-ID für das primäre VLAN fest:

  2. Legen Sie die Schnittstellen und den Port-Modi fest:

  3. Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:

    Anmerkung:

    Das primäre VLAN muss ein TAGGED VLAN sein.

  4. Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:

  5. Konfigurieren Sie für jedes sekundäre VLAN DIE VLAN-IDs und die Zugriffschnittstellen:

    Anmerkung:

    Wir empfehlen, dass sekundäre VLANs nicht-tags werden. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen. Bei der Konfiguration eines sekundären VLAN auf einem einzelnen Switch werden die Tags jedoch nicht verwendet.

  6. Legen Sie für jede Community VLAN das primäre VLAN fest:

  7. Fügen Sie jede isolierte Schnittstelle zum primären VLAN hinzu:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Sicherstellen, dass das private VLAN und sekundäre VLANs erstellt wurden

Zweck

Stellen Sie sicher, dass das primäre VLAN und sekundäre VLANs auf dem Switch ordnungsgemäß erstellt wurden.

Aktion

Verwenden Sie show vlans den Befehl:

Bedeutung

Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde und identifiziert die zugehörigen Schnittstellen und sekundären VLANs.

Beispiel: Konfigurieren eines privaten VLAN über mehrere QFX-Switches

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und sogar die Kommunikation zwischen bekannten Hosts zu beschränken. Die private VLAN-Funktion (PVLAN) ermöglicht einem Administrator die Aufteilung einer Broadcast-Domäne auf mehrere isolierte Broadcast-Unterdomains, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. Ein PVLAN kann mehrere Switches umfassen.

In diesem Beispiel wird die Erstellung eines PVLAN über mehrere Switches beschrieben. In diesem Beispiel wird ein primäres PVLAN mit mehreren sekundären VLANs erstellt:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei QFX3500 Geräte

  • Junos OS 12.1 oder höher für die QFX-Serie

Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Siehe Konfigurieren von VLANs auf Switches .

Überblick und Topologie

In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird gezeigt, wie ein PVLAN über mehrere QFX-Geräte mit einem primären VLAN mit zwei Community-VLANs (eines für die Personalabteilung und eines für die Finanzabteilung) und einem isolierten Interswitch-VLAN (für den E-Mail-Server, den Backup-Server und den CVS-Server) erstellt wird. Das PVLAN besteht aus drei Switches, zwei Zugangs-Switches und einem Verteilungs-Switch. Das PVLAN ist über einen Promiscuous-Port mit einem Router verbunden, der auf dem Verteilungs-Switch konfiguriert ist.

Anmerkung:

Die isolierten Ports auf Switch 1 und auf Switch 2 verfügen nicht über eine Layer 2-Konnektivität miteinander, obwohl sie in der gleichen Domäne enthalten sind. Siehe Verständnis privater VLANs .

Abbildung 17 zeigt die Topologie in diesem Beispiel auf: zwei Zugangs-Switches, die mit einem Verteilungs-Switch verbunden sind, der eine Verbindung (über einen promiscuous Port) zum Router hat.

Abbildung 17: PVLAN-Topologie über mehrere Switches hinwegPVLAN-Topologie über mehrere Switches hinweg

Tabelle 10und die Einstellungen für die Tabelle 11Tabelle 12 Beispieltopologie auf.

Tabelle 10: Komponenten von Switch 1 in der Topologie zur Konfiguration eines PVLAN auf mehreren Geräten
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400

PVLAN-Trunkschnittstellen

ge-0/0/0.0, verbindet Switch 1 mit Switch 3

ge-0/0/5.0, verbindet Switch 1 mit Switch 2

Isolierte Schnittstellen im primären VLAN

ge-0/0/15.0, Mailserver

ge-0/0/16.0, Backup-Server

Schnittstellen in VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Schnittstellen in VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabelle 11: Komponenten von Switch 2 in der Topologie zur Konfiguration eines PVLAN mit mehreren Geräten
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400

PVLAN-Trunkschnittstellen

ge-0/0/0.0, verbindet Switch 2 mit Switch 3

ge-0/0/5.0, verbindet Switch 2 mit Switch 1

Isolierte Schnittstelle im primären VLAN

ge-0/0/17.0, CVS-Server

Schnittstellen in VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Schnittstellen in VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabelle 12: Komponenten von Switch 3 in der Topologie zur Konfiguration eines PVLAN auf mehreren Geräten
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400

PVLAN-Trunkschnittstellen

ge-0/0/0.0, verbindet Switch 3 mit Switch 1

ge-0/0/1.0, verbindet Switch 3 mit Switch 2

Promiscuous Port

ge-0/0/2, verbindet das PVLAN mit dem Router

Anmerkung:

Sie müssen den Trunkport, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Teil des PVLAN konfigurieren, das implizit als Promiscuous-Port konfiguriert wird.

Topologie

Konfigurieren eines PVLAN auf Switch 1

Bei der Konfiguration eines PVLAN auf mehreren Switches gelten die folgenden Regeln:

  • Das primäre VLAN muss ein TAGGED VLAN sein. Wir empfehlen, dass Sie das primäre VLAN zuerst konfigurieren.

  • Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren. Sie müssen auch das primäre VLAN per pvlan-Anweisung als privat konfigurieren.

  • Wenn Sie eine isolierungs-VLAN-ID konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein, um ein PVLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:

Verfahren

Schritt-für-Schritt-Verfahren
  1. Legen Sie die VLAN-ID für das primäre VLAN fest:

  2. Legen Sie die PVLAN-Trunkschnittstellen fest, um dieses VLAN über benachbarte Switches zu verbinden:

  3. Legen Sie das primäre VLAN als privat fest und verfügen sie über keine lokale Switching-Aufgabe:

  4. Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:

  5. Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:

  6. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:

  7. Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.

  8. Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:

  9. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:

  10. Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:

  11. Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:

    Anmerkung:

    Wenn Sie einen isolierten Port konfigurieren, gehören Sie ihn als Mitglied des primären VLAN an, konfigurieren Sie ihn aber nicht als Mitglied eines Community-VLAN.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Konfigurieren eines PVLAN auf Switch 2

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 2 ein, um ein privates VLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:

Anmerkung:

Die Konfiguration von Switch 2 ist mit der Konfiguration von Switch 1 außer der Schnittstelle in der isolierten Domäne zwischen Switches gleich. Für Switch 2 ist die Schnittstelle ge-0/0/17.0 .

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie ein PVLAN auf Switch 2, das sich über mehrere Switches erstreckt:

  1. Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:

  2. Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:

  3. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:

  4. Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.

  5. Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:

  6. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:

  7. Legen Sie die VLAN-ID für das primäre VLAN fest:

  8. Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:

  9. Legen Sie das primäre VLAN als privat fest und verfügen sie über keine lokale Switching-Aufgabe:

  10. Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:

    Anmerkung:

    Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.

  11. Konfiguration der isolierten Schnittstelle im primären VLAN:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Konfigurieren eines PVLAN auf Switch 3

CLI-Konfiguration

Um Switch 3 so schnell zu konfigurieren, dass er als Verteilungs-Switch dieses PVLAN funktioniert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:

Anmerkung:

Die Schnittstelle ge-0/0/2.0 ist ein Trunkport, der das PVLAN mit einem Router verbindet.

Verfahren

Schritt-für-Schritt-Verfahren

Um Switch 3 zu konfigurieren, der als Verteilungs-Switch für dieses PVLAN verwendet werden soll, führen Sie folgendes Verfahren aus:

  1. Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:

  2. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:

  3. Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches umspannt:

  4. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:

  5. Legen Sie die VLAN-ID für das primäre VLAN fest:

  6. Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:

  7. Legen Sie das primäre VLAN als privat fest und verfügen sie über keine lokale Switching-Aufgabe:

  8. Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:

    Anmerkung:

    Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 1 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Das Pvlan-Trunk- und Inter-Switch-isolierte Felder zeigt, dass dieses PVLAN mehrere Switches umspannt.

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umspannt, auf Switch 2 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und zeigt, dass es ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes INTERN umfasst. Das Pvlan-Trunk- und Inter-Switch-isolierte Felder zeigt, dass dieses PVLAN mehrere Switches umspannt. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum selben PVLAN gehören ( pvlan100 ).

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 3 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass PVLAN ( ) auf Switch 3 konfiguriert ist und keine pvlan100 isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Switch 3 kann jedoch als Verteilungs-Switch verwendet werden, sodass die Ausgabe keine Zugriffschnittstellen innerhalb des PVLAN umfasst. Es zeigt nur die Schnittstellen, die eine Verbindung von Switch 3 zu den anderen pvlan-trunkpvlan100 Switches (Switch 1 und Switch 2) im gleichen PVLAN herstellen.

Beispiel: Konfigurieren eines privaten VLAN über mehrere Switches mit einer IRB-Schnittstelle

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und sogar die Kommunikation zwischen bekannten Hosts zu beschränken. Die private VLAN-Funktion (PVLAN) ermöglicht einem Administrator die Aufteilung einer Broadcast-Domäne auf mehrere isolierte Broadcast-Unterdomains, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. Ein PVLAN kann mehrere Switches umfassen. In diesem Beispiel wird die Erstellung eines PVLAN über mehrere Switches beschrieben. In diesem Beispiel wird ein primäres PVLAN mit mehreren sekundären VLANs erstellt.

Genau wie die normalen VLANs sind PVLANs auf Layer 2 isoliert und erfordern normalerweise die Verwendung eines Layer-3-Geräts für das Routen von Datenverkehr. Beginnen mit Junos OS 14.1X53-D30, können Sie eine integrierte Routing und Bridging (IRB)-Schnittstelle verwenden, um Layer-3-Datenverkehr zwischen mit einem PVLAN verbundenen Geräten zu routen. Durch die Verwendung einer IRB-Schnittstelle können die Geräte im PVLAN auf Layer 3 auch mit Geräten in anderen Communitys oder isolierten VLANs oder mit Geräten außerhalb des PVLAN kommunizieren. In diesem Beispiel wird auch veranschaulicht, wie eine IRB-Schnittstelle in eine PVLAN-Konfiguration mit einf wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei Switches der QFX-serie EX4600 Switches

  • Junos OS mit PVLAN für die QFX-Serie oder andere EX4600

Überblick und Topologie

In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird gezeigt, wie ein PVLAN über mehrere Switches mit einem primären VLAN mit zwei Community-VLANs (eines für die Personalabteilung und eines für die Finanzabteilung) und eines isolierten Interswitch-VLANs (für den E-Mail-Server, den Backup-Server und den CVS-Server) erstellt wird. Das PVLAN besteht aus drei Switches – zwei Zugangs-Switches und einem Verteilungs-Switch. Die Geräte im PVLAN sind auf Layer 3 über eine auf dem Verteilungs-Switch konfigurierte IRB-Schnittstelle miteinander und mit Geräten außerhalb des PVLAN verbunden.

Anmerkung:

Die isolierten Ports auf Switch 1 und auf Switch 2 verfügen nicht über eine Layer 2-Konnektivität miteinander, obwohl sie in der gleichen Domäne enthalten sind. Siehe Verständnis privater VLANs .

Abbildung 18 zeigt die Topologie für dieses Beispiel.

Abbildung 18: PVLAN-Topologie, die mehrere Switches mit einer IRB-Schnittstelle umspanntPVLAN-Topologie, die mehrere Switches mit einer IRB-Schnittstelle umspannt

Tabelle 13und die Einstellungen für die Tabelle 14Tabelle 15 Beispieltopologie auf.

Tabelle 13: Komponenten von Switch 1 in der Topologie zur Konfiguration eines PVLAN auf mehreren Geräten
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolated-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400

Interswitch-Linkschnittstellen

xe-0/0/0.0, verbindet Switch 1 mit Switch 3

xe-0/0/5.0, verbindet Switch 1 mit Switch 2

Isolierte Schnittstellen im primären VLAN

xe-0/0/15.0, Mailserver

xe-0/0/16.0, Backup-Server

Schnittstellen in VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Schnittstellen in VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabelle 14: Komponenten von Switch 2 in der Topologie zur Konfiguration eines PVLAN mit mehreren Geräten
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolated-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400

Interswitch-Linkschnittstellen

xe-0/0/0.0, verbindet Switch 2 mit Switch 3

xe-0/0/5.0, verbindet Switch 2 mit Switch 1

Isolierte Schnittstelle im primären VLAN

xe-0/0/17.0, CVS-Server

Schnittstellen in VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Schnittstellen in VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabelle 15: Komponenten von Switch 3 in der Topologie zur Konfiguration eines PVLAN auf mehreren Geräten
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolated-vlan-id, 50finance-comm Tag, Tag 300hr-commEtikett 400

Interswitch-Linkschnittstellen

xe-0/0/0.0, verbindet Switch 3 mit Switch 1.

xe-0/0/1.0, verbindet Switch 3 mit Switch 2.

Promiscuous Port

xe-0/0/2, verbindet das PVLAN mit einem anderen Netzwerk.

Anmerkung:

Sie müssen den Trunkport, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Teil des PVLAN konfigurieren, das implizit als Promiscuous-Port konfiguriert wird.

IRB-Schnittstelle

xe-0/0/0

xe-0/0/1

Konfigurieren Sie unbeschränktes Proxy-ARP auf der IRB-Schnittstelle, um die ARP-Auflösung zu ermöglichen, sodass Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. Für IPv6-Datenverkehr müssen Sie eine IRB-Adresse explizit der Zieladresse zuordnen, um eine ARP-Auflösung zu ermöglichen.

Topologie

Konfigurationsübersicht

Bei der Konfiguration eines PVLAN auf mehreren Switches gelten die folgenden Regeln:

  • Das primäre VLAN muss ein TAGGED VLAN sein.

  • Das primäre VLAN ist das einzige VLAN, das Mitglied einer Interswitch-Linkschnittstelle sein kann.

Bei der Konfiguration einer IRB-Schnittstelle in einem PVLAN gelten die folgenden Regeln:

  • Sie können in einem PVLAN nur eine IRB-Schnittstelle erstellen, unabhängig davon, wie viele Switches am PVLAN beteiligt sind.

  • Die IRB-Schnittstelle muss ein Mitglied des primären VLANs im PVLAN sein.

  • Jedes Hostgerät, das auf Layer 3 verbunden werden soll, muss als Standard-Gateway-Adresse eine IP-Adresse der IRB verwenden.

Konfigurieren eines PVLAN auf Switch 1

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein, um ein PVLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:

Verfahren

Schritt-für-Schritt-Verfahren
  1. Konfigurieren Sie die Schnittstelle xe-0/0/0 zu einem Trunk:

  2. Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:

  3. Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:

  4. Konfigurieren Sie die Schnittstelle xe-0/0/5 zu einem Trunk:

  5. Konfigurieren Sie Die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs transportiert:

  6. Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/5:

  7. Erstellen Sie das Community-VLAN für die Finanzabteilung:

  8. Erstellen Sie das Community-VLAN für die HR-Organisation:

  9. Erstellen Sie das isolierte VLAN für Mail- und Backup-Server:

  10. Erstellen Sie das primäre VLAN, und machen Sie die Community und die isolierten VLANs zu Mitgliedern dieses:

  11. Konfigurieren Sie VLAN 300 (das Community-VLAN) als Mitglied der Schnittstelle xe-0/0/11:

  12. Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:

  13. Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:

  14. Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:

  15. Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/15:

  16. Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/16:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Konfigurieren eines PVLAN auf Switch 2

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 2 ein, um ein privates VLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:

Anmerkung:

Die Konfiguration von Switch 2 ist mit der Konfiguration von Switch 1 außer dem isolierten VLAN gleich. Für Switch 2 ist die isolierte VLAN-Schnittstelle xe-0/0/17.0 .

Verfahren

Schritt-für-Schritt-Verfahren
  1. Konfigurieren Sie die Schnittstelle xe-0/0/0 zu einem Trunk:

  2. Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:

  3. Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:

  4. Konfigurieren Sie die Schnittstelle xe-0/0/5 zu einem Trunk:

  5. Konfigurieren Sie Die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs transportiert:

  6. Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/5:

  7. Erstellen Sie das Community-VLAN für die Finanzabteilung:

  8. Erstellen Sie das Community-VLAN für die HR-Organisation:

  9. Erstellen Sie das isolierte VLAN für Mail- und Backup-Server:

  10. Erstellen Sie das primäre VLAN, und machen Sie die Community und die isolierten VLANs zu Mitgliedern dieses:

  11. Konfigurieren Sie VLAN 300 (das Community-VLAN) als Mitglied der Schnittstelle xe-0/0/11:

  12. Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:

  13. Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:

  14. Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:

  15. Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/17:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Konfigurieren eines PVLAN auf Switch 3

CLI-Konfiguration

Um Switch 3 so schnell zu konfigurieren, dass er als Verteilungs-Switch dieses PVLAN funktioniert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:

Anmerkung:

Schnittstelle xe-0/0/2.0 ist ein Trunkport, der das PVLAN mit einem anderen Netzwerk verbindet.

Verfahren

Schritt-für-Schritt-Verfahren

Um Switch 3 zu konfigurieren, der als Verteilungs-Switch für dieses PVLAN verwendet werden soll, führen Sie folgendes Verfahren aus:

  1. Konfigurieren Sie die Schnittstelle xe-0/0/0 zu einem Trunk:

  2. Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:

  3. Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:

  4. Konfigurieren Sie die Schnittstelle xe-0/0/5 zu einem Trunk:

  5. Konfigurieren Sie Die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs transportiert:

  6. Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/5:

  7. Konfigurieren Sie die Schnittstelle xe-0/0/2 (die Promiscuous-Schnittstelle) zu einem Trunk:

  8. Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/2:

  9. Erstellen Sie das primäre VLAN:

  10. Erstellen Sie die IRB-Schnittstelle, und weisen Sie ihr eine Adresse im Subnetz zu, die von den Geräten verwendet wird, die an irb Switches 1 und 2 angeschlossen sind:

    Anmerkung:

    Jedes Hostgerät, das auf Layer 3 verbunden werden soll, muss sich im selben Subnetz wie die IRB-Schnittstelle befinden und die IP-Adresse der IRB-Schnittstelle als Standard-Gatewayadresse verwenden.

  11. Füllen Sie die IRB-Schnittstellenkonfiguration durch Verbindung der Schnittstelle mit dem primären VLAN pvlan100 aus:

  12. Konfigurieren Sie unbeschränktes Proxy-ARP für jede Einheit der IRB-Schnittstelle, sodass die ARP-Auflösung für IPv4-Datenverkehr funktioniert:

    Anmerkung:

    Da die Geräte in der Community und isolierten VLANs auf Layer 2 isoliert sind, ist dieser Schritt erforderlich, um eine ARP-Auflösung zwischen den VLANs zu ermöglichen, sodass Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. (Für IPv6-Datenverkehr müssen Sie explizit eine IRB-Adresse der Zieladresse zuordnen, um ARP-Auflösung zu ermöglichen.)

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 1 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Das Vorhandensein von Trunks und isolierten Zwischen-Switch-Feldern zeigt, dass dieses PVLAN mehrere Switches umspannt.

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umspannt, auf Switch 2 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und zeigt, dass es ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes INTERN umfasst. Das Vorhandensein von Trunks und isolierten Zwischen-Switch-Feldern zeigt, dass dieses PVLAN mehrere Switches umspannt. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum selben PVLAN gehören ( pvlan100 ).

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 3 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass PVLAN ( ) auf Switch 3 konfiguriert ist und keine pvlan100 isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Switch 3 kann jedoch als Verteilungs-Switch verwendet werden, sodass die Ausgabe keine Zugriffschnittstellen innerhalb des PVLAN umfasst. Es zeigt nur die Trunkschnittstellen, die eine Verbindung von Switch 3 zu den anderen pvlan100 Switches (Switch 1 und Switch 2) im gleichen PVLAN herstellen.

Beispiel: Konfigurieren eines privaten VLAN über mehrere Switches der EX-Serie

Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains zu unterteilen, so dass im Wesentlichen ein VLAN in ein VLAN einträgt. Ein PVLAN kann mehrere Switches umfassen.

In diesem Beispiel wird die Erstellung eines PVLAN über mehrere Switches der EX-Serie beschrieben. In diesem Beispiel wird ein primäres PVLAN mit mehreren sekundären VLANs erstellt:

Anmerkung:

Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei Switches der EX-Serie

  • Junos OS 10.4 oder höher für Switches der EX-Serie

Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.

Überblick und Topologie

In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird gezeigt, wie ein PVLAN über mehrere Switches der EX-Serie mit einem primären VLAN mit zwei Community-VLANs (ein für die Personalabteilung und eines für die Finanzabteilung) und einem isolierten Interswitch-VLAN (für den E-Mail-Server, den Backup-Server und den CVS-Server) erstellt wird. Das PVLAN besteht aus drei Switches, zwei Zugangs-Switches und einem Verteilungs-Switch. Das PVLAN ist über einen Promiscuous-Port mit einem Router verbunden, der auf dem Verteilungs-Switch konfiguriert ist.

Anmerkung:

Die isolierten Ports auf Switch 1 und Switch 2 sind nicht miteinander verbunden, obwohl sie in der gleichen Domäne enthalten sind. Erfahren Sie mehr über private VLANs.

Abbildung 19 zeigt die Topologie in diesem Beispiel auf: zwei Zugangs-Switches, die mit einem Verteilungs-Switch verbunden sind, der eine Verbindung (über einen promiscuous Port) zum Router hat.

Abbildung 19: PVLAN-Topologie über mehrere Switches hinwegPVLAN-Topologie über mehrere Switches hinweg

Tabelle 16und die Einstellungen für die Tabelle 17Tabelle 18 Beispieltopologie auf.

Tabelle 16: Komponenten von Switch 1 in der Topologie für die Konfiguration eines PVLAN auf spannenden Switches der EX-Serie
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400

PVLAN-Trunkschnittstellen

ge-0/0/0.0, Verbindet Switch 1 mit Switch 3

ge-0/0/5.0, Verbindet Switch 1 mit Switch 2

Schnittstellen in VLAN isolation

ge-0/0/15.0, Mailserver

ge-0/0/16.0, Backup-Server

Schnittstellen in VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Schnittstellen in VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabelle 17: Komponenten von Switch 2 in der Topologie für die Konfiguration eines PVLAN auf spannenden Switches der EX-Serie
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400

PVLAN-Trunkschnittstellen

ge-0/0/0.0, Verbindet Switch 2 mit Switch 3

ge-0/0/5.0, Verbindet Switch 2 mit Switch 1

Schnittstellen in VLAN isolation

ge-0/0/17.0,CVS-Server

Schnittstellen in VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Schnittstellen in VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabelle 18: Komponenten von Switch 3 in der Topologie für die Konfiguration eines PVLAN auf Spanning Multiple EX Series Switches
Eigenschaft Einstellungen

VLAN-Namen und Tag-IDs

primary-vlanEtikett 100

isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400

PVLAN-Trunkschnittstellen

ge-0/0/0.0, Verbindet Switch 3 mit Switch 1

ge-0/0/1.0, Verbindet Switch 3 mit Switch 2

Promiscuous Port

ge-0/0/2, verbindet DAS PVLAN mit dem Router

Anmerkung:

Sie müssen den Trunkport, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Teil des PVLAN konfigurieren, das implizit als Promiscuous-Port konfiguriert wird.

Topologie

Konfigurieren eines PVLAN auf Switch 1

CLI-Konfiguration

Bei der Konfiguration eines PVLAN auf mehreren Switches gelten die folgenden Regeln:

  • Das primäre VLAN muss ein TAGGED VLAN sein. Wir empfehlen, dass Sie das primäre VLAN zuerst konfigurieren.

  • Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.

  • Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.

  • Wenn Sie eine isolierungs-VLAN-ID konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.

  • Sekundäre VLANs und der PVLAN-Trunkport müssen auf einem einzigen Commit verpflichtet werden, wenn MVRP auf dem PVLAN-Trunkport konfiguriert ist.

Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein, um ein PVLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:

Verfahren

Schritt-für-Schritt-Verfahren

Führen Sie die Konfigurationsschritte unten in der dargestellten Reihenfolge aus – führen Sie auch alle Schritte aus, bevor Sie die Konfiguration in einem einzigen Commit festlegen. Dies ist die einfachste Methode, Fehlermeldungen zu vermeiden, die durch eine Verletzung einer der drei Regeln ausgelöst werden:

  • Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.

  • Wenn Sie eine isolierungs-VLAN-ID konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.

  • Sekundäre VLANs und ein PVLAN-Trunk müssen auf einem einzigen Commit festlegen.

So konfigurieren Sie ein PVLAN auf Switch 1, das sich über mehrere Switches erstreckt:

  1. Legen Sie die VLAN-ID für das primäre VLAN fest:

  2. Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:

  3. Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:

  4. Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:

  5. Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:

  6. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:

  7. Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.

  8. Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:

  9. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:

  10. Richten Sie die isolierte ID zwischen Switches ein, um eine isolierte Domäne zwischen Switches zu erstellen, die die Switches umfasst:

    Anmerkung:

    Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Konfigurieren eines PVLAN auf Switch 2

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 2 ein, um ein privates VLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:

Anmerkung:

Die Konfiguration von Switch 2 ist mit der Konfiguration von Switch 1 außer der Schnittstelle in der isolierten Domäne zwischen Switches gleich. Für Switch 2 ist die Schnittstelle ge-0/0/17.0 .

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie ein PVLAN auf Switch 2, das sich über mehrere Switches erstreckt:

  1. Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:

  2. Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:

  3. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:

  4. Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.

  5. Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:

  6. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:

  7. Legen Sie die VLAN-ID für das primäre VLAN fest:

  8. Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:

  9. Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:

  10. Richten Sie die isolierte ID zwischen Switches ein, um eine isolierte Domäne zwischen Switches zu erstellen, die die Switches umfasst:

    Anmerkung:

    Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Konfigurieren eines PVLAN auf Switch 3

CLI-Konfiguration

Um Switch 3 so schnell zu konfigurieren, dass er als Verteilungs-Switch dieses PVLAN funktioniert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:

Anmerkung:

Die Schnittstelle ge-0/0/2.0 ist ein Trunkport, der das PVLAN mit einem Router verbindet.

Verfahren

Schritt-für-Schritt-Verfahren

Um Switch 3 zu konfigurieren, der als Verteilungs-Switch für dieses PVLAN verwendet werden soll, führen Sie folgendes Verfahren aus:

  1. Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:

  2. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:

  3. Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches umspannt:

  4. Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:

  5. Legen Sie die VLAN-ID für das primäre VLAN fest:

  6. Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:

  7. Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:

  8. Richten Sie die isolierte ID zwischen Switches ein, um eine isolierte Domäne zwischen Switches zu erstellen, die die Switches umfasst:

    Anmerkung:

    Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 1 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Die Präsenz der Felder pvlan-trunk zeigt, dass dieses PVLAN mehr als Inter-switch-isolated einen Switch umspannt.

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umspannt, auf Switch 2 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Die Präsenz der Felder zeigt, dass es sich dabei um PVLAN handelt, pvlan-trunkInter-switch-isolated das mehrere Switches umfasst. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum selben PVLAN gehören ( pvlan100 ).

Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden

Zweck

Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 3 ordnungsgemäß funktioniert:

Aktion

Verwenden Sie show vlans extensive den Befehl:

Bedeutung

Die Ausgabe zeigt, dass DAS PVLAN ( ) auf Switch 3 konfiguriert ist und zwei pvlan100 isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Switch 3 kann jedoch als Verteilungs-Switch verwendet werden, sodass die Ausgabe keine Zugriffschnittstellen innerhalb des PVLAN umfasst. Es zeigt nur die Schnittstellen, die eine Verbindung von Switch 3 zu den anderen pvlan-trunkpvlan100 Switches (Switch 1 und Switch 2) im gleichen PVLAN herstellen.

Beispiel: Konfigurieren von PVLANs mit sekundären VLAN-Trunk-Ports und promiscuous Access-Ports auf einem Switch der QFX-Serie

In diesem Beispiel wird gezeigt, wie Sie sekundäre VLAN-Trunkports und Promiscuous Access-Ports als Teil einer privaten VLAN-Konfiguration konfigurieren. Sekundäre VLAN-Trunk-Ports tragen sekundären VLAN-Datenverkehr.

Anmerkung:

In diesem Beispiel Junos OS Switches verwendet, die den ElS-Konfigurationsstil (Enhanced Layer 2 Software) nicht unterstützen. Weitere Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.

Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunkport Datenverkehr für nur ein sekundäres VLAN transportieren. Ein sekundärer VLAN-Trunkport kann jedoch Datenverkehr für mehrere sekundäre VLANs portieren, solange jedes sekundäre VLAN Mitglied eines anderen privaten (primären) VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunkport Datenverkehr für ein Community-VLAN, das Teil des primären VLAN pvlan100 ist, und Datenverkehr für ein isoliertes VLAN, das Teil des primären VLAN pvlan400 ist, weiter tragen.

Verwenden Sie zum Konfigurieren eines Trunkports isolated für den sekundären VLAN-Datenverkehr die isolierten Anweisungen und Anweisungen, wie in Schritten und der Beispielkonfiguration interface für Switch 1213 1 dargestellt.

Anmerkung:

Wenn der Datenverkehr von einem sekundären VLAN-Trunkport ausgehend wird, transportiert er normalerweise den Tag des primären VLAN, dem der sekundäre Port gehört. Wenn Sie den Datenverkehr, der von einem sekundären VLAN-Trunkport ausgehend wird, zum Behalten des sekundären VLAN-Tags möchten, verwenden Sie die Extend-Secondary-vlan-id-Anweisung.

Ein promiscuous Access-Port transportiert nicht zusammenhängenden Datenverkehr und kann nur Teil eines primären VLANs sein. Datenverkehr, der an einem promiscuous Access-Port einfügbar ist, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, zu denen der promiscuous Access Port gehört. Dieser Datenverkehr transportiert die entsprechenden sekundären VLAN-Tags, wenn er von den sekundären VLAN-Ports abfing, wenn der sekundäre VLAN-Port ein Trunk-Port ist.

Verwenden Sie die Promiscuous-Anweisung, um einen Zugriffsport als Promiscuous zu konfigurieren, wie in der Beispielkonfiguration für 12 Switch 2 dargestellt.

Wenn der Datenverkehr über einen sekundären VLAN-Port ein- und ausgehend an einem promiscuous Access-Port liegt, wird der Datenverkehr nicht tags tags auf dem Ausgangspunkt versiert. Wenn Tagged Traffic-Ingresses auf einem Promiscuous Access-Port, wird der Datenverkehr verworfen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei QFX-Geräte

  • Junos OS 12.2 oder höher für die QFX-Serie

Überblick und Topologie

Abbildung 20 zeigt die in diesem Beispiel verwendete Topologie. Switch 1 umfasst mehrere primäre und sekundäre private VLANs und zwei sekundäre VLAN-Trunk-Ports, die für sekundäre VLANs konfiguriert sind, die Mitglieder der primären VLANs pvlan100 und pvlan400 sind.

Switch 2 umfasst die gleichen privaten VLANs. Die Abbildung zeigt xe-0/0/0 auf Switch 2, wie sie mit promiscuous Access-Ports oder Promiscuous Trunk-Ports konfiguriert ist. In der hier enthaltenen Beispielkonfiguration wird dieser Port als promiscuous Access-Port konfiguriert.

Die Abbildung zeigt auch, wie der Datenverkehr nach dem Ingressing an den sekundären VLAN-Trunkports auf Switch 1 fließen würde.

Abbildung 20: PVLAN-Topologie mit sekundären VLAN-Trunk-Ports und Promiscuous Access PortPVLAN-Topologie mit sekundären VLAN-Trunk-Ports und Promiscuous Access Port

Tabelle 19 und Tabelle 20 listen Sie die Einstellungen für die Beispieltopologie auf beiden Switches auf.

Tabelle 19: Komponenten der Topologie zur Konfiguration eines sekundären VLAN-Trunks auf Switch 1
Komponente Beschreibung

pvlan100, ID 100

Primäres VLAN

pvlan400, ID 400

Primäres VLAN

comm300, ID 300

Community VLAN, Mitglied von pvlan100

comm600, ID 600

Community VLAN, Mitglied von pvlan400

isolation-vlan-id 200

VLAN-ID für isoliertes VLAN, Mitglied von pvlan100

Isolierung – vlan-id 500

VLAN-ID für isoliertes VLAN, Mitglied von pvlan400

xe-0/0/0.0

Sekundärer VLAN-Trunkport für primäre VLANs pvlan100 und pvlan400

xe-0/0/1.0

PVLAN-Trunkport für primäre VLANs pvlan100 und pvlan400

xe-0/0/2.0

Isolierter Zugriffsport für pvlan100

xe-0/0/3.0

Community-Zugangsport für comm300

xe-0/0/5.0

Isolierter Zugriffsport für pvlan400

xe-0/0/6.0

Community-Trunk-Port für comm600

Tabelle 20: Komponenten der Topologie zur Konfiguration eines sekundären VLAN-Trunks auf Switch 2
Komponente Beschreibung

pvlan100, ID 100

Primäres VLAN

pvlan400, ID 400

Primäres VLAN

comm300, ID 300

Community VLAN, Mitglied von pvlan100

comm600, ID 600

Community VLAN, Mitglied von pvlan400

isolation-vlan-id 200

VLAN-ID für isoliertes VLAN, Mitglied von pvlan100

Isolierung – vlan-id 500

VLAN-ID für isoliertes VLAN, Mitglied von pvlan400

xe-0/0/0.0

Promiscuous Access-Port für primäre VLANs pvlan100

xe-0/0/1.0

PVLAN-Trunkport für primäre VLANs pvlan100 und pvlan400

xe-0/0/2.0

Sekundärer Trunk-Port für isoliertes VLAN, Mitglied von pvlan100

xe-0/0/3.0

Community-Zugangsport für comm300

xe-0/0/5.0

Isolierter Zugriffsport für pvlan400

xe-0/0/6.0

Community-Zugangsport für comm600

Konfiguration der PVLANs auf Switch 1

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein, um die PVLANs auf Switch 1 schnell zu erstellen und zu konfigurieren:

Verfahren

Schritt-für-Schritt-Verfahren

Zur Konfiguration der privaten VLANs und sekundären VLAN-Trunk-Ports:

  1. Konfiguration der Schnittstellen und Port-Modi:

  2. Erstellen Sie die primären VLANs:

    Anmerkung:

    Primäre VLANs müssen immer ALS VLANs gekennzeichnet werden, auch wenn sie auf nur einem Gerät vorhanden sind.

  3. Konfiguration der primären VLANs als privat:

  4. Konfiguration des PVLAN-Trunkports zur Übertragung des privaten VLAN-Datenverkehrs zwischen den Switches:

  5. Sekundäres VLAN comm300 mit VLAN-ID 300 erstellen:

  6. Konfigurieren Sie das primäre VLAN für comm300:

  7. Konfigurieren Sie die Schnittstelle für comm300:

  8. Sekundäres VLAN comm600 mit VLAN-ID 600 erstellen:

  9. Konfigurieren Sie das primäre VLAN für comm600:

  10. Konfigurieren Sie die Schnittstelle für comm600:

  11. Konfiguration der isolierten Interswitch-VLANs:

    Anmerkung:

    Wenn Sie einen sekundären VLAN-Trunkport für die Übertragung eines isolierten VLAN konfigurieren, müssen Sie auch eine Isolations-vlan-id konfigurieren. Dies gilt sogar, wenn das isolierte VLAN nur auf einem Switch vorhanden ist.

  12. Ermöglichen des Trunkports xe-0/0/0 für die Übertragung sekundärer VLANs für die primären VLANs:

  13. Konfiguration des Trunkports xe-0/0/0 für die Übertragung von comm600 (Mitglied von pvlan400):

    Anmerkung:

    Sie müssen xe-0/0/0 nicht explizit konfigurieren, um den isolierten VLAN-Datenverkehr (Tags 200 und 500) zu tragen, da alle isolierten Ports in pvlan100 und pvlan400, einschließlich xe-0/0/0.0, automatisch in die isolierten VLANs aufgenommen werden, die bei der Konfiguration und isolation-vlan-id 200isolation-vlan-id 500 .

  14. Konfigurieren Sie xe-0/0/2 und xe-0/0/6, um isoliert zu werden:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 1:

Konfiguration der PVLANs auf Switch 2

Die Konfiguration für Switch 2 ist fast identisch mit der Konfiguration für Switch 1. Der bedeutendste Unterschied besteht in der Konfiguration von xe-0/0/0 auf Switch 2 als Promiscuous Trunk-Port oder wie ein promiscuous Access-Port, wie Abbildung 20 gezeigt. In der folgenden Konfiguration wird xe-0/0/0 als promiscuous Access-Port für das primäre VLAN pvlan100 konfiguriert.

Wenn der Datenverkehr an einem VLAN-fähigen Port ein- und an einem promiscuous Access-Port ausgehend wird, werden die VLAN-Tags auf dem Ausgangspunkt fallen lassen und der Datenverkehr wird an diesem Punkt nicht getagt. Beispielsweise datenverkehr für comm600-Ingresses am sekundären VLAN-Trunkport, der auf xe-0/0/0.0 auf Switch 1 konfiguriert ist, und überträgt Tag 600 bei der Weiterleitung über das sekundäre VLAN. Wenn er von xe-0/0/0.0 auf Switch 2 ausgangs wird, wird er nicht tagsiert, wenn Sie xe-0/0/0.0 als Promiscuous-Zugriffsport konfigurieren, wie in diesem Beispiel dargestellt. Wenn Sie xe-0/0/0.0 stattdessen als Promiscuous Trunk-Port (Port-Mode-Trunk) konfigurieren, trägt der Datenverkehr für comm600 seinen primären VLAN-Tag (400) bei der Egresses mit sich.

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein, um die PVLANs auf Switch 2 schnell zu erstellen und zu konfigurieren:

Verfahren

Schritt-für-Schritt-Verfahren

Zur Konfiguration der privaten VLANs und sekundären VLAN-Trunk-Ports:

  1. Konfiguration der Schnittstellen und Port-Modi:

  2. Erstellen Sie die primären VLANs:

  3. Konfiguration der primären VLANs als privat:

  4. Konfiguration des PVLAN-Trunkports zur Übertragung des privaten VLAN-Datenverkehrs zwischen den Switches:

  5. Sekundäres VLAN comm300 mit VLAN-ID 300 erstellen:

  6. Konfigurieren Sie das primäre VLAN für comm300:

  7. Konfigurieren Sie die Schnittstelle für comm300:

  8. Sekundäres VLAN comm600 mit VLAN-ID 600 erstellen:

  9. Konfigurieren Sie das primäre VLAN für comm600:

  10. Konfigurieren Sie die Schnittstelle für comm600:

  11. Konfiguration der isolierten Interswitch-VLANs:

  12. Konfigurieren Sie den Zugangsport xe-0/0/0 als promiscuous für pvlan100:

    Anmerkung:

    Ein promiscuous Access-Port kann nur zu einem primären VLAN gehört werden.

  13. Konfigurieren Sie xe-0/0/2 und xe-0/0/6, um isoliert zu werden:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 2:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Sicherstellen, dass das private VLAN und sekundäre VLANs erstellt wurden

Zweck

Stellen Sie sicher, dass das primäre VLAN und sekundäre VLANs auf Switch 1 ordnungsgemäß erstellt wurden.

Aktion

Verwenden Sie show vlans den Befehl:

Bedeutung

Die Ausgabe zeigt, dass die privaten VLANs erstellt wurden und identifiziert die zugehörigen Schnittstellen und sekundären VLANs.

Überprüfung der Ethernet-Switching-Tabelleneinträge

Zweck

Stellen Sie sicher, dass die Ethernet-Switching-Tabelleneinträge für das primäre VLAN pvlan100 erstellt wurden.

Aktion

Zeigen Sie die Ethernet-Switching-Tabelleneinträge für pvlan100 an.

Sicherstellen, dass ein privates VLAN auf einem Switch arbeitet

Zweck

Stellen Sie nach der Erstellung und Konfiguration privater VLANs (PVLANs) sicher, dass sie ordnungsgemäß eingerichtet wurden.

Aktion

  1. Um zu bestimmen, ob Sie die primären und sekundären VLAN-Konfigurationen erfolgreich erstellt haben:

    • Verwenden Sie für ein PVLAN auf einem einzelnen Switch den show configuration vlans folgenden Befehl:

    • Verwenden Sie für ein PVLAN, das mehrere Switches umspannt, den show vlans extensive folgenden Befehl:

  2. Verwenden Sie den Befehl, um VLAN-Informationen und Verbindungsstatus für ein PVLAN auf einem einzelnen Switch oder für ein PVLAN mit show vlans extensive mehreren Switches anzuzeigen.

    • Für PVLAN auf einem einzigen Switch:

    • Für PVLAN mit mehreren Switches:

  3. Verwenden Sie show ethernet-switching table den Befehl zum Anzeigen von Protokollen für MAC-Learning in den VLANs:

Anmerkung:

Wenn Sie ein PVLAN konfiguriert haben, das mehrere Switches umspannt, können Sie auf allen Switches denselben Befehl verwenden, um die Protokolle für das MAC-Lernen auf diesen Switches zu überprüfen.

Bedeutung

In den Ausgabeanzeigen für ein PVLAN auf einem einzelnen Switch sehen Sie, dass das primäre VLAN zwei Community-Domänen (und ) zwei isolierte Ports und zwei Trunk-Ports community1community2 enthält. Das PVLAN auf einem einzelnen Switch hat nur ein Tag ( ), d. h. 1000 für das primäre VLAN.

Das PVLAN, das mehrere Switches umfasst, enthält mehrere Tags:

  • Die COM1 Community-Domain wird mit Tag 100 identifiziert.

  • Die community2 Community-Domain wird mit Tag 20 identifiziert.

  • Die isolierte Interswitch-Domäne wird mit Tag 50 identifiziert.

  • Das primäre VLAN primary wird mit einem Tag 10 identifiziert.

Für das PVLAN, das mehrere Switches überspannt, werden die Trunkschnittstellen auch als pvlan-trunk identifiziert.

Fehlerbehebung privater VLANs auf QFX-Switches

Verwenden Sie die folgenden Informationen zur Fehlerbehebung einer privaten VLAN-Konfiguration.

Grenzen privater VLANs

Für private VLAN-Konfigurationen gelten folgende Einschränkungen:

  • IGMP-Snooping wird von privaten VLANs nicht unterstützt.

  • Geroutete VLAN-Schnittstellen werden in privaten VLANs nicht unterstützt

  • Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.

  • Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zuerst in ein normales VLAN ändern und die Änderung festlegen. Sie befolgen z. B. folgendes Verfahren:

    1. Ändern Sie das primäre VLAN in ein normales VLAN.

    2. Commit für die Konfiguration.

    3. Ändern Sie das normale VLAN in ein sekundäres VLAN.

    4. Commit für die Konfiguration.

    Befolgen Sie die gleiche Abfolge von Commits, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN, und commit diese Änderung, und ändern Sie dann das normale VLAN in ein primäres VLAN.

Weiterleitung mit privaten VLANs

Problem

Beschreibung
  • Wenn isolierter VLAN- oder Community-VLAN-Tagged-Datenverkehr an einem PVLAN-Trunkport empfangen wird, werden MAC-Adressen aus dem primären VLAN gelernt. Die Ausgabe des Befehls "show ethernet-switching table" zeigt, dass MAC-Adressen aus dem primären VLAN gelernt und in sekundäre VLANs repliziert werden. Dieses Verhalten wirkt sich nicht auf die Weiterleitungsentscheidungen aus.

  • Wenn ein Paket mit einem sekundären VLAN-Tag an einem Promiscuous-Port empfangen wird, wird es akzeptiert und weitergeleitet.

  • Wenn ein Paket an einem PVLAN-Trunkport empfangen wird und beide unten aufgeführten Bedingungen erfüllt, wird es verworfen.

    • Das Paket hat einen VLAN-Tag für die Community.

    • Das Paket ist an eine Unicast MAC-Adresse oder Multicastgruppen-MAC-Adresse bestimmt, die in einem isolierten VLAN gelernt wurde.

  • Wenn ein Paket an einem PVLAN-Trunkport empfangen wird und beide unten aufgeführten Bedingungen erfüllt, wird es verworfen.

    • Das Paket verfügt über einen isolierten VLAN-Tag.

    • Das Paket ist an eine Unicast MAC-Adresse oder Multicastgruppen-MAC-Adresse bestimmt, die in einem Community-VLAN gelernt wurde.

  • Wenn ein Paket mit einem primären VLAN-Tag von einem sekundären VLAN-Port (isoliert oder community) empfangen wird, weitergeleitet der sekundäre Port das Paket weiter.

  • Wenn Sie ein Community-VLAN auf einem Gerät konfigurieren und ein weiteres Community-VLAN auf einem zweiten Gerät konfigurieren und beide Community-VLANs dieselbe VLAN-ID verwenden, kann der Datenverkehr für eines der VLANs an das andere VLAN weitergeleitet werden. Nehmen wir beispielsweise die folgende Konfiguration an:

    • Community VLAN comm1 auf Switch 1 verfügt über VLAN-ID 50 und ist Mitglied des primären VLAN pvlan100.

    • Community VLAN comm2 auf Switch 2 hat außerdem die VLAN-ID 50 und ist Mitglied des primären VLAN pvlan200.

    • Das primäre VLAN pvlan100 ist auf beiden Switches vorhanden.

    Wenn der Datenverkehr für comm1 von Switch 1 zu Switch 2 gesendet wird, wird er an die ports gesendet, die auf comm2 teilnehmen. (Der Datenverkehr wird wie erwartet auch an die Ports in comm1 weitergeleitet.)

Lösung

Bei diesen Verhaltensweisen handelt es sich um erwartete Verhaltensweisen.

Egress Firewall-Filter mit privaten VLANs

Problem

Beschreibung

Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter auch für die sekundären VLANs, die Mitglieder des primären VLANs sind, wenn der Datenverkehr mit dem primären VLAN-Tag oder einem isolierten VLAN-Tag (wie unten aufgelistet) abzieht:

  • Datenverkehr wird von einem sekundären VLAN-Trunkport an einen Promiscuous-Port (Trunk oder Zugang) weitergeleitet

  • Datenverkehr wird von einem sekundären VLAN-Trunkport weitergeleitet, der ein isoliertes VLAN an einen PVLAN-Trunkport transportiert.

  • Datenverkehr wird von einem Promiscuous-Port (Trunk oder Zugang) an einen sekundären VLAN-Trunkport weitergeleitet

  • Datenverkehr wird von einem PVLAN-Trunkport weitergeleitet. zu einem sekundären VLAN-Trunkport

  • Der Datenverkehr wird von einem Community-Port zu einem Promiscuous-Port (Trunk oder Zugang) weitergeleitet

Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt dieser Filter nicht für Datenverkehr, der mit einem VLAN-Tag der Community abfing, wie unten aufgelistet:

  • Datenverkehr wird von einem Trunkport der Community an einen PVLAN-Trunkport weitergeleitet

  • Datenverkehr wird von einem sekundären VLAN-Trunkport weitergeleitet, der ein Community-VLAN an einen PVLAN-Trunkport transportiert

  • Der Datenverkehr wird von einem Promiscuous-Port (Trunk oder Zugang) zu einem Trunkport an einer Community weitergeleitet

  • Datenverkehr wird von einem PVLAN-Trunkport weitergeleitet. zu einem Trunkport mit Community-Port

Wenn Sie einen Firewall-Filter in der Ausgaberichtung an ein Community-VLAN wenden, gelten die folgenden Verhaltensweisen:

  • Der Filter wird auf Datenverkehr angewendet, der von einem Promiscuous-Port (Trunk oder Zugang) zu einem Community-Trunkport weitergeleitet wird (da der Datenverkehr mit dem VLAN-Tag der Community abzieht).

  • Der Filter wird auf Den Datenverkehr angewendet, der von einem Community-Port an einen PVLAN-Trunkport weitergeleitet wird (da der Datenverkehr mit dem Community-VLAN-Tag abzieht).

  • Der Filter wird nicht auf Datenverkehr angewendet, der von einem Community-Port zu einem Promiscuous-Port weitergeleitet wird (da der Datenverkehr mit dem primären VLAN-Tag oder nicht kennzeichnend abfälscht).

Lösung

Bei diesen Verhaltensweisen handelt es sich um erwartete Verhaltensweisen. Sie treten nur auf, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Ausgaberichtung anwenden und nicht auftreten, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Eingangsrichtung anwenden.

Ausgangs-Port-Spiegelung mit privaten VLANs

Problem

Beschreibung

Wenn Sie eine Konfiguration mit Portspiegelung erstellen, die den privaten VLAN-Datenverkehr (PVLAN) auf dem Ausgangsstrom spiegelt, hat der gespiegelte Datenverkehr (der Datenverkehr, der an das Analysesystem gesendet wird) anstelle des Ausgangs-VLAN den VLAN-Tag des ingressen VLAN. Nehmen wir beispielsweise die folgende PVLAN-Konfiguration an:

  • Promiscuous Trunk-Port, der primäre VLANs pvlan100 und pvlan400 transportiert.

  • Isolierter Zugriffsport, der sekundäres VLAN isoliert 200 transportiert. Dieses VLAN ist ein Mitglied des primären VLAN pvlan100.

  • Community-Port, der sekundären VLAN-Comm300 transportiert. Dieses VLAN ist außerdem Mitglied des primären VLAN pvlan100.

  • Ausgangsschnittstelle (Monitorschnittstelle), die sich mit dem Analysesystem verbindet. Über diese Schnittstelle wird der gespiegelte Datenverkehr an den Analyzer weitergeleitet.

Wenn ein Paket für pvlan100 an den Promiscuous-Trunkport startet und an dem isolierten Zugriffsport austritt, wird das originale Paket beim Ausgangszugriff nicht tagsgeschützt, da es über einen Zugriffsport auskommt. Der Tag bleibt jedoch beim Speichern des Tags für pvlan100, wenn er an den Analysegerät gesendet wird.

Dies ist ein weiteres Beispiel: Wenn ein Paket für den eingehenden Comm300-Paket am Community-Port und am Promiscuous Trunk-Port aus dem Ausgangs-Port führt, transportiert das originale Paket wie erwartet den Tag für pvlan100 auf dem Ausgangspunkt. Die gespiegelte Kopie behält jedoch den Tag für comm300, wenn sie an den Analyzer gesendet wird.

Lösung

Damit wird ein solches Verhalten erwartet.